红日内网渗透靶场【一篇量大管饱】ATT&CK系列

    WELCOME    

网络安全·诚邀合作

    我们C4安全团队是一支专业、高效、富有经验、团结的信息安全服务团队，由一群经验丰富、技术精湛的安全专家组成，他们在网络安全领域都有各自发光发亮的地方和大量的实战经验。在红蓝攻防、日常渗透测试、CTF比赛中也获取很多优异的成绩，帮助客户解决了很多安全问题，得到了客户的认可。欢迎合作咨询！

扫描二维码

联系合作

靶机是红日安全团队提供的，具体配置要求：

https://www.freebuf.com/column/230476.html

下载地址：

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

首先拓扑图如下：

靶机登陆密码都为hongrisec@2019

网络设置

攻击机kali：网络设置为NAT模式，IP：192.168.147.133

win7：网络设置需要有两块网卡，一块设置成NAT模式，ip：192.168.147.142，设置成NAT模式还不够，需要进入虚拟机修改网络设置，因为靶机原来的ip占用了，设置成自动分配ip就行，不然就无法与攻击机连通

另外一块网卡设置如下，VMnet2，ip为192.168.52.143：

win2003和win2008：都使用VMnet2网卡，ip分别为192.168.52.141和192.168.52.138，确保攻击机kali无法直接访问，实现物理隔离

win7连通测试：

反过来去ping win7会发现无法ping通，因为win7安装了防火墙

准备步骤

需要在win7的C盘开启phpstudy，开启环境

信息收集

御剑扫描后台，发现有phpadmin后台登陆，但不是这次演示要用的漏洞：

nikto扫描漏洞，报告信息如下，扫到phpinfo页面之类的，得到Apache、OpenSSL、PHP的版本信息：

dirb扫描路径，这里其实扫不出来这个路径了，参考了一下官方的说明，再细扫一遍：

/yxcms/目录页面可以访问是个建站系统

nmap扫描开放的端口，80端口、3306端口开放，访问80端口网页显示php探针，此外3306端口也能拿来做文章：

访问/yxcms/页面，登录需要注册，url中的member改成admin就能在管理员后台登陆

用户名admin，密码为弱密码123456

之后进入管理页面，在模板中随机选择php文件进行插入一句话

去百度一下yxcms的网站目录结构，模板文件目录：

尝试蚁剑连接失败

既然失败就新建文件，再写入一句话

shell地址为：

http://192.168.147.142/yxcms/protected/apps/default/view/default/shell.php

连接成功getshell

接着上次，此次渗透目标为phpadmin，依然是弱密码root，登录管理界面

执行以下SQL语句（不能放一起执行）：

set global general_log=on;# 开启日志set global general_log_file='C:/phpstudy/www/yxcms/v01cano.php';# 设置日志位置为网站目录

之后查看日志：

在日志中文件中插入一句话

之后蚁剑连接再次getshell，地址如下

http://192.168.147.142/yxcms/v01cano.php

在蚁剑终端，查看目标开启的端口，并给win7添加用户

在kali上生成木马，并用蚁剑上传并运行：

渗透成功，进行提权

之前要开启3389端口，如果没有开启也可以使用蚁剑开启，命令：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

参考文章：

https://www.cnblogs.com/wkzb/p/12358076.html

去https://www.ngrok.cc/申请开通隧道，方便我们远程登录

下载对应工具，输入隧道id进行连接

远程登录，用户名和密码为我们在实战2中添加的

原用户会提醒，如果在30秒内没有操作，自动换成我们用户登录

域信息收集

内网ip地址：

域服务器

判断主域失败

既然这种办法无法收集更多的域信息，我们就需要使用其他的方法（在蚁剑终端进行查询，得到的结果也是一样的）

run autoroute -s 192.168.52.0/24        #添加路由run autoroute -p                        #查看路由

查看地址转换表，发现内网ip，且是域控（win2008的地址）

工具主要用于内网渗透以及APT攻击

启动：文件目录下./teamserver 本机 ip 连接密码

注意：cobaltstrike需要java环境才能运行

打开exe，新建连接，地址为kali所在ip，密码为之前自己设置好的4444

.

新建监听

显示监听成功：

此外cobalt strike也能生成木马：Attack - Packages - Windows Executable生成木马，一旦在虚拟机上运行，CS上就会显示上线

最后如果木马监听端口和MSF监听端口一致，那么shell就会反弹到监听的msf上（意思是 CS生成的木马和MSF生成的木马最后产生的结果是一样的）

beacon模块使用#

使用之前需要beacon_http生成木马，用蚁剑上传至win7主机，之后运行程序

CS上会显示目标上线，右键interface，进入beacon模块

输入hash dump，抓取本机所有hash密码

logonpasswords：使用mimikatz密码抓取神器进行hash破解，得到三台虚拟机明文密码（因为都存储在win7）

内网扫描：

把win2003和2008的内网地址都扫出来，之后就能nmap扫端口利用相关的漏洞打进内网主机

添加路由，使MSF其他模块能访问内网的其他主机

后台运行，如果关闭了路由配置，可能会出现如下错误：无法连接内网主机

设置socks4a代理，设置成功后使用其他模块，要在开头加上proxychains

（有必要将/etc/proxychains.conf配置文件中的端口改为1080）

首先尝试访问win7的内网的网页

成功说明我们代理已经成功挂起，可以探测内网其他主机进一步挖掘各种漏洞提权了，本文就实战到这里为止

专栏介绍

Freebuf知识大陆内部共享资料截屏详情如下

（每周保持更新，已更新 170+文档，扫码可免费预览）

知识大陆——安全渗透感知大家族

圈子券后现价 ￥39.9元

（新人优惠券折扣20￥，扫码即可领取优惠）

原文始发于微信公众号（C4安全团队）：红日内网渗透靶场【一篇量大管饱】ATT&CK系列