ATT&CK 实战系列 - 红队评估(五)靶场笔记#
内网相关不太熟,于是最近没事找了几个靶场练手,这里把过程记一下。也不算 wp,只能算随手记吧,有不详之处各位自行琢磨,都没什么难度的。
概况:
虚拟机密码
win7
sun\heart 123.com
sun\Administrator dc123.com
2008
sun\admin 2020.com
Win7 双网卡模拟内外网
网络
192.168.135.0/24
192.168.138.0/24 域网络
靶机部署
先启动 win2008 DC 主机
再启动 win7
win7 主机 C 盘下启动 phpstudy(提示需使用管理员)
sun\Administrator dc123.com
正文#
首先访问 win7 主机 80 端口,发现存在 web。web 为 thinkphp,并且此版本存在 RCE 漏洞。
按照习惯爆下路径,发现存在 add.php 特殊文件,访问发现是一个后门,可以进行密码爆破。
这里就有两条解法了。一是通过 thinkphp 写马,二是爆破后门密码进行操作。
我这里走的是爆破后门,TP 漏洞可自行百度。
原本使用 dirb,结果并没有扫到东西。后更换了 dirsearch 才有东西。有时候字典很重要,或者多换几个工具都是可以的。
burp 抓包进行爆破,用了当初豫剑会议搞的字典爆破
获得密码 admins,然后登录
发现这个马并不是很好用,于是转而传冰蝎上马。
获取相关信息
利用冰蝎自带的反弹 shell 功能弹一个 msf 的 shell,然后发现马并不稳定猜测是防火墙的原因,使用命令关闭防火墙
netsh advfirewall set allprofiles state off #关闭防火墙
net stop windefend #关闭windefebd
bcdedit.exe /set{current} nx AlwaysOff #关闭DEP
然后发现依然无法将 msf 会话转到 cs 上,遂放弃,改而转用其他方法转会话。(这里原因未知)
用 web 后门上传 cs 生成的木马,然后冰蝎弹 nc 到攻击机,再手动运行 exe。静等一会后 cs 提示上线,修改 sleep 进行快速操作。
为了稳这里多上几个控,有 spawn 的有注入进程的。右击扫描端网段去发现其他主机及其服务。(扫描内网 138 段)然后运行 mimikatz 读系统里的账户密码。原本这里需要先提权,结果这里已经是管理员了,实战情况下比较少见。(成员机系统中运行了管理员权限的软件)
CS 切换列表,右击目标主机使用 psexec 进行攻击
选择刚刚读到的域管理员的账户,会话监听器选择我们另外创建的 smb 监听器,攻击会话随意(应为同内网的机器,这里网络简单就不用考虑了)
静等一会以后 DC 上线 smb 的会话不会一直显示,时掉时上很正常。
到此就算是拿下了全部机器