红日靶场——ATT&CK红队实战(一)学习笔记 – 作者:IT界的奥尼尔

本文章仅限学习使用,最近刚刚接触内网的学习,好多地方还没有摸索清楚,有技术性问题请各位大佬多多批评指正!!!

timg?image&quality=80&size=b9999_10000&sec=1598604381652&di=28a8ed7da21917eaf51d605502cc63b5&imgtype=0&src=http%3A%2F%2Fimg.tukexw.com%2Fimg%2F03b80888eb98442e.jpg

(一)靶场地址分配:

1598594567.png!small

1598594582.png!small

1598594590.png!small

配置完毕,进入win7启动web服务,学习开始

timg?image&quality=80&size=b9999_10000&sec=1598605876233&di=c434ceeed090880608b6fb5ef0b9895d&imgtype=0&src=http%3A%2F%2Fpic1.zhimg.com%2F50%2Fv2-a7286d5dcf166c54885396bec24c8598_hd.jpg

(二)web服务器渗透

nmap探测端口,发现只开启了80和3306

1598594620.png!small

访问web地址,发现为php探针

1598594637.png!small

探针底部有mysql数据库连接

测试弱口令root root,连接成功(靶场环境就是香)

timg?image&quality=80&size=b9999_10000&sec=1598606006158&di=1284443b47124d115a6015f2cd35574c&imgtype=0&src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20181018%2F578005e3970a43aa8231d0a26ba9bba1.jpeg

1598594646.png!small

使用工具连接数据库看看能不能连接上(貌似在想peach)

1598594655.png!small

只好扫一手目录

1598594675.png!small

发现phpmyadmin,使用弱口令登录到数据库

1598594691.png!small

还是喜欢使用navicat,输入命令放行主机地址远程连接数据库

GRANT ALL PRIVILEGES ON *.* TO ‘root’@’192.168.226.1’ IDENTIFIED BY ‘root’ WITH GRANT OPTION;

flush privileges;

成功远程登录(直奔网站数据库,查找后台登录用户名)

1598594704.png!small

发现网站为yzcms,同时也找到了登录账号和密码,但是密码被加密了

Md5解密,发现又是一串密文949ba59abbe56e05

1598594713.png!small

再解密一次,失败

这个时候就到了相信某度的时候,直接网上搜一下

1598596080.png!small

访问yxcms,点击后台登录,然后根据数据库命名规则,修改member为admin成功找到后台登录页面,尝试用户名:admin 密码:123456   成功登录后台

1598594874.png!small

网上搜了一下yxcms的漏洞,发现前台模块可上传webshell,直接写进去一个一句话木马

1598594878.png!small

结合robots.txt泄露的目录,找到真实地址,蚁剑连接(后来看其他大佬的文章发现也可以使用目录穿越的方法直接将木马写到根目录../../../../../test.php)

1598594891.png!small

打开终端执行命令,直接就是管理员权限,创建新用户并加入到管理员组

1598594924.png!small

开启3389端口,偷偷的修改防火墙配置放行3389,成功远程登录到web服务器

(三)内网信息收集

查看内网地址网段为192.168.52.0(省略部分信息收集过程)

1598595003.png!small

使用msfvenom生成powershell木马反弹到msf(还不会免杀)

1598595009.png!small

将test.ps1上传到web服务器,msf开启监听

1598595017.png!small

运行test.ps1(发现powershell策略禁止执行脚本)

1598595030.png!small

修改当前powershell执行策略(必须为系统管理员运行powershell)

1598595037.png!small

再次执行脚本,成功反弹会话1598595045.png!small1598595050.png!small

想使用mimikatz抓取服务器hash密码,但是权限不足,需要提权

使用Windows-Exploit-Suggester(根据操作系统版本,跟systeminfo生成的文件进行比对)检测一下可利用漏洞

官方工具地址:

https://github.com/GDSSecurity/Windows-Exploit-Suggester

将win7系统信息生成win7.txt

1598595062.png!small

kali中运行Windows-Exploit-Suggester工具

1598595071.png!small

发现可以使用ms16-014,并且成功利用提权到最高权限

1598595084.png!small

1598595087.png!small

使用mimikatz成功抓取到管理员密码,并且得到了域控的用户密码

1598595105.png!small

(四)内网横向渗透

配置静态路由

1598595116.png!small

使用msf自带netbios扫描内网存活机器,发现存活机器两台,地址分别为192.168.52.138和192.168.52.143

1598595124.png!small

使用msf自带模块检测端口

1598595129.png!small

发现开放445端口

1598595135.png!small

检测ms17-010,发现两个地址都有漏洞(在网上找到不蓝屏的姿势),使用ms17-010-command模块执行命令

1598595143.png!small

1598595147.png!small

发现可以成功执行命令,添加新用户并加入管理员组,但是开放3389失败(各种方式都没打开)

只好把shell弹到cs里面

1598595156.png!small

1598595159.png!small

先抓取一下hash密码,再扫描一下内网段

1598595219.png!small

添加smb会话,使用psexec直接拿域控shell

1598595237.png!small1598595242.png!small

作为强迫症以及对图形化的喜爱,必须要开启3389

1598595266.png!small

回到kali里面配置socks4a代理

1598595273.png!small

修改proxychains配置文件,文件位置/etc/proxychains.conf

1598595279.png!small

远程连接内网主机

1598595287.png!small

大功告成

u=1647262378,1212549642&fm=26&gp=0.jpg

结尾处附上思维导图,也算是对本次学习的总结

1598597454.png!small

timg?image&quality=80&size=b9999_10000&sec=1598607068324&di=62821f74372cd4bb35581aee7b742dcb&imgtype=0&src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20181017%2F504e86f5cf904825ac95d15c59a76a9a.jpeg

学习的过程总是快乐的,记录一次学习的过程,不足之处,请及时指出,谢谢!!!

来源:freebuf.com 2020-08-28 14:59:50 by: IT界的奥尼尔

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论