ATT&CK 實戰系列 - 紅隊評估(五)靶場筆記#
內網相關不太熟,於是最近沒事找了幾個靶場練手,這裡把過程記一下。也不算 wp,只能算隨手記吧,有不詳之處各位自行琢磨,都沒什麼難度的。
概況:
虛擬機密碼
win7
sun\heart 123.com
sun\Administrator dc123.com
2008
sun\admin 2020.com
Win7 雙網卡模擬內外網
網路
192.168.135.0/24
192.168.138.0/24 域網路
靶機部署
先啟動 win2008 DC 主機
再啟動 win7
win7 主機 C 盤下啟動 phpstudy(提示需使用管理員)
sun\Administrator dc123.com
正文#
首先訪問 win7 主機 80 端口,發現存在 web。web 為 thinkphp,並且此版本存在 RCE 漏洞。
按照習慣爆下路徑,發現存在 add.php 特殊文件,訪問發現是一個後門,可以進行密碼爆破。
這裡就有兩條解法了。一是通過 thinkphp 寫馬,二是爆破後門密碼進行操作。
我這裡走的是爆破後門,TP 漏洞可自行百度。
原本使用 dirb,結果並沒有掃到東西。後更換了 dirsearch 才有東西。有時候字典很重要,或者多換幾個工具都是可以的。
burp 抓包進行爆破,用了當初豫劍會議搞的字典爆破
獲得密碼 admins,然後登錄
發現這個馬並不是很好用,於是轉而傳冰蝎上馬。
獲取相關信息
利用冰蝎自帶的反彈 shell 功能彈一個 msf 的 shell,然後發現馬並不穩定猜測是防火牆的原因,使用命令關閉防火牆
netsh advfirewall set allprofiles state off #關閉防火牆
net stop windefend #關閉windefebd
bcdedit.exe /set{current} nx AlwaysOff #關閉DEP
然後發現依然無法將 msf 會話轉到 cs 上,遂放棄,改而轉用其他方法轉會話。(這裡原因未知)
用 web 後門上傳 cs 生成的木馬,然後冰蝎彈 nc 到攻擊機,再手動運行 exe。靜等一會後 cs 提示上線,修改 sleep 進行快速操作。
為了穩這裡多上幾個控,有 spawn 的有注入進程的。右擊掃描端網段去發現其他主機及其服務。(掃描內網 138 段)然後運行 mimikatz 讀系統裡的帳戶密碼。原本這裡需要先提權,結果這裡已經是管理員了,實戰情況下比較少見。(成員機系統中運行了管理員權限的軟體)
CS 切換列表,右擊目標主機使用 psexec 進行攻擊
選擇剛剛讀到的域管理員的帳戶,會話監聽器選擇我們另外創建的 smb 監聽器,攻擊會話隨意(應為同內網的機器,這裡網路簡單就不用考慮了)
靜等一會以後 DC 上線 smb 的會話不會一直顯示,時掉時上很正常。
到此就算是拿下了全部機器