首页 > 其他分享 >ATT&CK红队评估(红日靶场5)

ATT&CK红队评估(红日靶场5)

时间:2024-09-14 13:12:53浏览次数:11  
标签:CK domain cl wevtutil 端口 192.168 ATT net 红队

靶机介绍

  此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。

  ‍

  ‍

  注意Win7双网卡模拟内外网

  ‍

环境搭建

  使用VMent2 作为内网,NAT作为外网网段

image

  ‍

win7

  • 账密及域

  • 双网卡模拟内网网

    • 内网网卡:192.168.138.136
    • 外网网卡:192.168.111.150

  因为我不想改net网段了,所以就把win7的ip改过来了:​image

  测试 DC和kali均能ping通:

image

  启动phpstudy,如果提示要登录,那就切换另一个账号登录:​image

win2008

账号:sun\admin
密码:2020.com
更改之后密码:2024.com
  • 内网ip:192.168.138.138

image

拓扑图

image

  ‍

  Windows 7:

  • Web服务器(使用的是PHPStudy,记得自己手动开一下)
  • 模拟外网IP:192.168.111.150
  • 内网IP:192.168.138.136

  Windows Server 2008:

  • 域控制器
  • 内网IP:192.168.138.138

  攻击者VPS:

  • OS:Kali Linux
  • IP:192.168.111.129

  ‍

web打点

信息收集

  端口扫描:

nmap -sV -Pn 192.168.111.150 

image

  开放端口:80端口,135端口,3306端口

  ‍

ThinkPHP 5.23 RCE

  访问80端口,是一个thinkphp网站,还是V5.0版本的:

image

  上thinkphp漏洞工具,检测到挺多漏洞的:

image

  使用TinkPHP 5.0.22/5.1.29 RCE 漏洞,来命令执行:

image

  查看一下进程,没有发下杀软,那么可以直接上马

image

  执行ipconfig发现还有一个网段,应该是存在内网的:

image

  点击右边的GETSHELL:

image

  文件写入成功,尝试蚁剑连接:

image

  成功拿下shell

image

  CS上线:

  通过蚁剑,上传cs木马,执行:

image

  提权:

  使用ms14-058成功提权:

image

image

  ‍

内网渗透

信息收集

  查看是否存在域:

net config Workstation

image

  没得说,肯定是存在域的:sun

  ‍

  端口扫描:

image

  ‍

image

  发现了另一台主机:DC:192.168.138.138​ ,

  该主机,开放端口有 88、53、135、139、445

  查看域控:

net group "domain admins" /domain

image

  ‍

  抓取明文密码:

  CS中输入logonpasswords 或者右键点击抓取明文密码:

image

image

  抓取密码如下:

image

  ‍

  ​​

  ‍

  ‍

横向移动

  ‍

psexec横向

  之前端口扫描出,发现域控的445端口开放,而且也抓取到相关密码,可以试一下psexec横向

  创建smb监听器

image

  选中目标右键—psexec:

image

  填写相关信息:

image

  成功拿下域控:

image

  至此2台机器已经全部拿下:

image

权限维持

黄金票据

  从DC中hashdump​出krbtgt​的hash值,krbtgt​用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

image

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:65dc23a67f31503698981f2665f9d858:::

  ​在DC查看域的sid​:

image

S-1-5-21-3388020223-1982701712-4030140183-1000

  右键-黄金票据:

image

  填好内容,生成成功:

image

  ‍

添加域控账号

  执行以下命令生成域用户

shell net user hack 123qwe!@# /add /domain
shell net user /domain
shell net group "Domain Admins" hack /add /domain

  ‍

痕迹清理

  ‍

  使用wevtutil进行清除

wevtutil cl security	//清理安全日志
wevtutil cl system		//清理系统日志
wevtutil cl application		//清理应用程序日志
wevtutil cl "windows powershell"	//清除power shell日志
wevtutil cl Setup

  ‍

总结

  • 内网横向的方法很多,可以使用ipc或者vmi等等。
  • 权限维持这块,有人使用 创建 DSRM 后门的方式,也是可以的。
  • 也可以开启3389远程桌面,可以看我之前的文章,这里我就懒得做了。
  • 方法很多的,因为这个靶场还是较为简单的,只有2台机器,所以做的比较简单。

  ‍

标签:CK,domain,cl,wevtutil,端口,192.168,ATT,net,红队
From: https://www.cnblogs.com/itchen-2002/p/18413783/to-212p0h

相关文章

  • 使用脚本部署openstack平台
    一、案例分析1.部署架构一台控制节点和一台计算节点组成简单架构OpenStack平台,控制节点安装MySQL、Keystone、Glance、Nova、Neutron、Dashboard等服务,主要作为认证、镜像管理节点,以及提供Nova和Neutron服务的管理节点。提供Dashboard界面服务。计算节点主要安装nova-comput......
  • docker-compose快速部署flink1.18.1
    目的用于规范flink组件的部署操作,可用于开发测试环境快速部署前置条件基于centos7实例名内网IP主机名(Hostname)角色实例1172.20.20.2test-20-2节点1开始部署1.提前准备好flink:1.18.1镜像dockerpullflink:1.18.1部署目录:/app/funo/flink2.docker-......
  • Android开发使用WebSocket时如何构建数据通讯框架
    前言之前我们介绍过服务端使用WebSocket如何设计数据框架,现在我们看看客户端如何与它通讯。如果光说要用WebSocket做一个例子,相信很多小伙伴都能搞通,网上这么多资料。随便拿一个过来,调通就行了。不过,做出来与把它做好是两码事。我们的目标是,不但要把数据调通,还要把它梳理完善......
  • chainlit 持久化配置问题 null value in column "disableFeedback" of relation "ste
    实际上此问题在github上已经存在了,解决方法很简单,就是对于sql配置的去掉不能为空的判定参考sql修改CREATETABLEIFNOTEXISTSsteps("id"UUIDPRIMARYKEY,"name"TEXTNOTNULL,"type"TEXTNOTNULL,"threadId"UUIDNOTNULL,"parentId"UUID,&qu......
  • fastapi 使用package 提供web 静态资源
    日常开发中对于静态资源的处理方法很多,但是如果静态资源也可以像包一样集成发布就会比较方便对于我们实际软件部署就会比较方便以下是关于fastapi通过package提供静态资源参考代码安装静态资源我们使用了bootstrap4,基于这个包提供app.pyfromfastapiimportFastAPIfrom......
  • 基于CNN-LSTM-Attention的共享单车租赁预测研究(数据可换)(Python代码实现)基于CNN-LSTM
                        ......
  • package.json依赖包漏洞之tough-cookie原型污染漏洞
    背景有个安全扫描的流水线,扫描了我负责的项目之后,发现一些漏洞。需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是build打包后的代码。这些正是我们提升项目安全性的宝贵机会。让我们一起来看看这些发现,并学习如何将它们转化为我们的优势。 ......
  • 论文分享 《Timing Side-channel Attacks and Countermeasures in CPU Microarchitect
    Attack概述传统攻击(CONVENTIONALATTACKS)在传统攻击中,Attacker通常:与Victim共享硬件资源(比如说LLC,BP,Prefetcher等)可以观察,改变微架构状态攻击步骤本文作者将传统攻击分为以下三步,如Fig1所示:定位“漏洞”:该漏洞包括“代码漏洞”(vulnerablecodegadgets),即......
  • C#笔记13 线程同步概念及其实现,详解lock,Monitor,Mutex代码用法
    同步的概念在我们学会在C#中使用线程之后,我们拥有了把一个程序中的不同代码段在不同线程中运行的能力,可以说此时我们已经能够做到让他们分别执行,异步执行。对于我们的桌面端程序,使用多线程可以让我们在后台进行操作的时候保持用户界面的响应。对于服务器应用程序,多线程可以......
  • WPF Datagrid DataGridTemplateColumn.CellTemplate local:ImageTextblock ImgUrl="{
    DataGridTemplate.CellTemplatecontainsonedatatemplaewilldisplaythecustomoizedcontrol,thekeylocatedatthecustomcontrol'sdependencypropertybindingandrelativesourceofx:typedatagridrow<local:ImageTextblockImgUrl="{Binding......