专栏首页湛卢工作室除夕 | ATT&CK红队评估实战靶场vulnstack

除夕 | ATT&CK红队评估实战靶场vulnstack

开源靶场VulnStack是由国内红日安全团队打造一个靶场知识平台。靶场设计思路来源ATT&CK红队评估模式,从漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场。目前已有4个靶场环境,都可以通过百度云盘下载。 本次实战靶场地址:

http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

拓扑如下:

WIN2K8 ---- web 模拟外网 / 192.168.136.200 & 10.10.10.80 双网卡

PC ---------- 模拟内网主机 / 10.10.10.201

DC --------- 域控机器 / 10.10.10.10

0x01 DMZ区打点

查看一下DMZ区服务器192.168.136.200开放端口,发现7001

存在weblogic反序列化RCE,CVE-2019-2725,上传冰蝎后门:

获得webshell

为了方便后续内网横向移动,利用webshell 反弹shell至MSF 和 cobaltstrike:

0x02 内网信息收集

查看当前权限,发现为域控管理员权限:

可以利用CS的权限提升模块进一步提升为system权限:

ipconfig 发现双网卡,另一网段为10.10.10.0/24:

ARP 探测发现另外两台主机 10.10.10.10和10.10.10.201:

域内信息收集: 定位域控:

net group "Domain controllers"  /domain 

域控主机名为DC,IP为10.10.10.10。

定位域管理员:

net group "domain admins" /domain   

域管理员为de1ay/administrator

0x03 横向移动

拿到DMZ WEB服务器system权限后,该服务器在域de1ay中,可以尝试抓hash、抓密码,分别获得administrator、mssql两个用户的密码:

拿到域管理密码后,就可以直接登录域控,在此之前,还需要搭建隧道,做流量转发,让攻击机可以直接访问内网。

MSF、CS都有socks 代理服务,以MSF代理为例:

在攻击机中使用代理客户端加载mstsc,即可访问到域控10.10.10.10:

由于直接抓到了域管理员密码,所以可以用域管理员账号密码登录域内任意主机。为了尝试更多的攻击手段,我们尝试利用PTH攻击手段上线其他主机。

PTH (pass-the-hash)在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。

假设我们抓到的域用户管理员的密码不是明文,而是hash,我们可以利用PTH的方式达到和密码同样的效果进行登录,我们利用域管理员hash登录PC(10.10.10.201),利用msf exploit/windows/smb/psexec模块:

获得msf meterpreter:

利用CS PTH 模块获得DC 的beacon:

所有主机都已上线:

0x04 总结

将本次行动中所采用的攻击技术与ATT&CK框架进行映射,经分析,本次redteam行动使用的技术包括不限于:

1、T1046 Network Service Scanning 2、T1087 Account Discovery 3、T1075 Pass the Hash 4、T1076 Remote Desktop Protocol 5、T1068 Exploitation for Privilege Escalation 6、T1090 Connection Proxy 7、T1100 Web Shell

今天是大年三十,欢度佳节之际新型肺炎牵动人心,湛卢工作室衷心希望大家平平安安,记得戴口罩、勤洗手、少去人群聚集处。祝愿大家新春快乐,幸福安康!

本文分享自微信公众号 - 湛卢工作室(xuehao_studio),作者:俞学浩

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • RSA常见解题思路及技巧

    1977年,麻省理工学院的 Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出了一种非对称加密算法,用他们三人的姓氏缩写命...

    tinyfisher
  • 免root将手机(Android&IOS)改造成移动渗透神器

    渗透测试人员都习惯一台笔记本走天下,但有的时候笔记本还是太大,一些地方用笔记本做渗透测试还是太招摇,而且有的时候也不会随身都带笔记本。这时如果可以利用随身携带的...

    tinyfisher
  • ELF文件保护机制解读及绕过

    可通过格式化字符串漏洞,泄漏栈上的内容,如__libc_start_main_ret地址,通过libc-database确定libc版本,查找libc中的Mag...

    tinyfisher
  • NIST《网络靶场指南》浅析

    2020年6月底,NIST发布《网络靶场指南》,定义了网络靶场,并总结了网络靶场的特征及类型。网络靶场是网络、系统、工具和应用程序的交互式、模拟平台和展示。具有...

    时间之外沉浮事
  • 速读原著-TCP/IP(广域网输出)

    前面所给出的小互联网的输出例子对于查看协议运行过程来说是足够了,但对于像全球互联网这样的大互联网来说,应用 t r a c e r o u t e程序就需要一些...

    cwl_java
  • Peter教你谈情说AI | 04梯度下降法

    上一节我们知道了算法是训练出来的,训练过程需要依据某种算法进行运算,这一节我们一起看下线性回归中最常用的优化算法——梯度下降法。

    刘盼
  • 您值得收藏的关系代数与Sql练习网站及实战操作

    MySQL学习仓库Up-Up-MySQL,这是一个学习MySQL从入门实战到理论完善,再到精通的一个仓库,后面会把MySQL的学习资料上传上去!欢迎大家star...

    公众号guangcity
  • 久违的小分享

    扫描之前,需要将靶标贴到目标表面,用于软件自动配准,贴靶标的密度随着目标表面的复杂程度变大而增大,以下图工具箱为例,平面的靶标粘贴密度适当减小,拐角处靶标密度适...

    点云PCL博主
  • hdoj 1028/poj 2704 Pascal's Travels(记忆化搜索||dp)

    有个小球,只能向右边或下边滚动,而且它下一步滚动的步数是它在当前点上的数字,如果是0表示进入一个死胡同。求它从左上角到右下角到路径数目。

    xindoo
  • 1.9K star量,解救无聊网友,小姐姐的「动画师」项目可一键生成个人角色

    最近,一个名为「Pose Animator」的项目人气暴增,打开以后,我们发现这又是一个能让人自娱自乐,并且丝毫察觉不到时间流逝的神奇工具。

    机器之心

扫码关注云+社区

领取腾讯云代金券