标签：CK domain cl wevtutil 端口 192.168 ATT net 红队

‍

靶机介绍

　　此次靶场虚拟机共用两个，一个外网一个内网，用来练习红队相关内容和方向，主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习，此靶场主要用来学习，请大家遵守网络网络安全法。

　　‍

　　‍

　　注意：Win7双网卡模拟内外网

　　‍

环境搭建

　　使用VMent2 作为内网，NAT作为外网网段

​​

　　‍

win7

• 账密及域

  • [email protected] 123.com
  • sun\Administrator dc123.com

• 双网卡模拟内网网

  • 内网网卡：192.168.138.136
  • 外网网卡：192.168.111.150

　　因为我不想改net网段了，所以就把win7的ip改过来了：​​

　　测试 DC和kali均能ping通：

​​

　　启动phpstudy，如果提示要登录，那就切换另一个账号登录：​​

win2008

账号：sun\admin
密码：2020.com
更改之后密码：2024.com

• 内网ip：192.168.138.138

​​

拓扑图

​​

　　‍

　　Windows 7：

• Web服务器（使用的是PHPStudy，记得自己手动开一下）
• 模拟外网IP：192.168.111.150
• 内网IP：192.168.138.136

　　Windows Server 2008：

• 域控制器
• 内网IP：192.168.138.138

　　攻击者VPS：

• OS：Kali Linux
• IP：192.168.111.129

　　‍

web打点

信息收集

　　端口扫描：

nmap -sV -Pn 192.168.111.150 

​​

　　开放端口：80端口，135端口，3306端口

　　‍

ThinkPHP 5.23 RCE

　　访问80端口，是一个thinkphp网站，还是V5.0版本的：

​​

　　上thinkphp漏洞工具，检测到挺多漏洞的：

​​

　　使用TinkPHP 5.0.22/5.1.29 RCE 漏洞，来命令执行：

​​

　　查看一下进程，没有发下杀软，那么可以直接上马

​​

　　执行ipconfig发现还有一个网段，应该是存在内网的:

​​

　　点击右边的GETSHELL：

​​

　　文件写入成功，尝试蚁剑连接：

​​

　　成功拿下shell

​​

　　CS上线：

　　通过蚁剑，上传cs木马，执行：

​​

　　提权：

　　使用ms14-058成功提权：

​​

​​

　　‍

内网渗透

信息收集

　　查看是否存在域：

net config Workstation

​​

　　没得说，肯定是存在域的：sun

　　‍

　　端口扫描：

​​

　　‍

​​

　　发现了另一台主机：DC：192.168.138.138​ ，

　　该主机，开放端口有 88、53、135、139、445

　　查看域控：

net group "domain admins" /domain

​​

　　‍

　　抓取明文密码：

　　CS中输入logonpasswords 或者右键点击抓取明文密码：

​​

​​

　　抓取密码如下：

​​

　　‍

　　​​

　　‍

　　‍

横向移动

　　‍

psexec横向

　　之前端口扫描出，发现域控的445端口开放，而且也抓取到相关密码，可以试一下psexec横向

　　创建smb监听器

​​

　　选中目标右键—psexec：

​​

　　填写相关信息：

​​

　　成功拿下域控：

​​

　　至此2台机器已经全部拿下：

​​

权限维持

黄金票据

　　从DC中hashdump​出krbtgt​的hash值，krbtgt​用户是域中用来管理发放票据的用户，拥有了该用户的权限，就可以伪造系统中的任意用户

​​

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:65dc23a67f31503698981f2665f9d858:::

　　​在DC查看域的sid​：

​​

S-1-5-21-3388020223-1982701712-4030140183-1000

　　右键-黄金票据：

​​

　　填好内容，生成成功：

​​

　　‍

添加域控账号

　　执行以下命令生成域用户

shell net user hack 123qwe!@# /add /domain
shell net user /domain
shell net group "Domain Admins" hack /add /domain

　　‍

痕迹清理

　　‍

　　使用wevtutil进行清除

wevtutil cl security	//清理安全日志
wevtutil cl system		//清理系统日志
wevtutil cl application		//清理应用程序日志
wevtutil cl "windows powershell"	//清除power shell日志
wevtutil cl Setup

　　‍

总结

• 内网横向的方法很多，可以使用ipc或者vmi等等。
• 权限维持这块，有人使用 创建 DSRM 后门的方式，也是可以的。
• 也可以开启3389远程桌面，可以看我之前的文章，这里我就懒得做了。
• 方法很多的，因为这个靶场还是较为简单的，只有2台机器，所以做的比较简单。

　　‍

标签：CK,domain,cl,wevtutil,端口,192.168,ATT,net,红队
From： https://www.cnblogs.com/itchen-2002/p/18413783/to-212p0h