ATT&CK 実践シリーズ - レッドチーム評価(5)ターゲットノート#
内部ネットワークに関してはあまり詳しくないので、最近いくつかのターゲットを見つけて練習しました。ここでは過程を記録しておきます。これは解説ではなく、メモ程度のものであり、詳細は各自で考えてください。難しいことはありません。
概要:
仮想マシンのパスワード
win7
sun\heart 123.com
sun\Administrator dc123.com
2008
sun\admin 2020.com
Win7 デュアルネットワークカード内外ネットワークのシミュレーション
ネットワーク
192.168.135.0/24
192.168.138.0/24 ドメインネットワーク
ターゲットデプロイ
まず、win2008 DC ホストを起動します。
次に、win7 を起動します。
win7 ホストの C ドライブで phpstudy を起動します(管理者権限が必要とのメッセージが表示されます)。
sun\Administrator dc123.com
本文#
まず、win7 ホストのポート 80 にアクセスすると、web が存在することがわかります。web は thinkphp であり、このバージョンには RCE の脆弱性が存在します。
通常のパスを爆発させると、特殊なファイルである add.php が存在することがわかります。アクセスするとバックドアであり、パスワードの爆破が可能です。
ここで 2 つの解決策があります。1 つは thinkphp を使用してマルウェアを書くこと、もう 1 つはバックドアのパスワードを爆破して操作することです。
私はここではバックドアのパスワードを爆破する方法を選びましたが、TP の脆弱性については自分で調べてください。
元々は dirb を使用していましたが、何もスキャンされませんでした。後で dirsearch に変更すると、何かが見つかりました。時には辞書が重要であり、いくつかのツールを試すこともできます。
バープでパケットをキャプチャして爆破し、以前に豫剣会議で作成した辞書を使用しました。
パスワード admins を取得し、ログインします。
このバックドアはあまり使いやすくないことがわかりましたので、代わりに冰蝎をアップロードします。
関連情報を取得します。
冰蝎の組み込みのリバースシェル機能を使用して、msf のシェルを起動しましたが、シェルが安定しないため、ファイアウォールの問題だと推測し、次のコマンドを使用してファイアウォールを無効にしました。
netsh advfirewall set allprofiles state off #ファイアウォールを無効にする
net stop windefend #windefebdを停止する
bcdedit.exe /set{current} nx AlwaysOff #DEPを無効にする
その後、まだ msf セッションを cs に移行できないことがわかり、代わりの方法でセッションを移行しました。(理由は不明です)
web バックドアを使用して、cs で生成されたマルウェアをアップロードし、冰蝎を使用して攻撃マシンに nc を弾きます。その後、exe を手動で実行します。しばらく待ってから、cs がオンラインになるように sleep を変更します。
安定性のために、いくつかのコントロールを追加しました。スポーンとインジェクションプロセスがあります。右クリックして、他のホストとそのサービスをスキャンします。(内部ネットワークの 138 セグメントをスキャンします)そして、mimikatz を実行してシステム内のアカウントパスワードを読み取ります。通常、ここでは特権昇格が必要ですが、ここでは既に管理者です。実際の攻撃ではあまり一般的ではありません。(メンバーマシンで管理者権限のソフトウェアを実行しているため)
CS の切り替えリストで、ターゲットホストを右クリックして psexec を使用して攻撃します。
読み取ったドメイン管理者のアカウントを選択し、セッションリスナーには別途作成した smb リスナーを選択し、攻撃セッションは任意です(内部ネットワークのマシンなので、ネットワークは簡単なので考慮しなくてもよいです)
しばらく待ってから、DC がオンラインになります。smb セッションは常に表示されず、接続が切れたりオンラインになったりするのは正常です。
これですべてのマシンを制御できました。