開源靶場VulnStack是由國內紅日安全團隊打造一個靶場知識平臺。靶場設計思路來源ATT&CK紅隊評估模式,從漏洞利用、內網蒐集、橫向移動、構建通道、持久控制、痕跡清理等方式進行搭建靶場。目前已有4個靶場環境,均可以經過百度雲盤下載。
本次實戰靶場地址:web
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/sql
拓撲以下:shell
WIN2K8 ---- web 模擬外網 / 192.168.136.200 & 10.10.10.80 雙網卡windows
PC ---------- 模擬內網主機 / 10.10.10.201安全
DC --------- 域控機器 / 10.10.10.10服務器
0x01 DMZ區打點
查看一下DMZ區服務器192.168.136.200開放端口,發現7001微信
存在weblogic反序列化RCE,CVE-2019-2725,上傳冰蠍後門:框架
得到webshelldom
爲了方便後續內網橫向移動,利用webshell 反彈shell至MSF 和 cobaltstrike:spa
0x02 內網信息收集
查看當前權限,發現爲域控管理員權限:
能夠利用CS的權限提高模塊進一步提高爲system權限:
ipconfig 發現雙網卡,另外一網段爲10.10.10.0/24:
ARP 探測發現另外兩臺主機 10.10.10.10和10.10.10.201:
域內信息收集:
定位域控:
net group "Domain controllers" /domain
域控主機名爲DC,IP爲10.10.10.10。
定位域管理員:
net group "domain admins" /domain
域管理員爲de1ay/administrator
0x03 橫向移動
拿到DMZ WEB服務器system權限後,該服務器在域de1ay中,能夠嘗試抓hash、抓密碼,分別得到administrator、mssql兩個用戶的密碼:
拿到域管理密碼後,就能夠直接登陸域控,在此以前,還須要搭建隧道,作流量轉發,讓攻擊機能夠直接訪問內網。
MSF、CS都有socks 代理服務,以MSF代理爲例:
在攻擊機中使用代理客戶端加載mstsc,便可訪問到域控10.10.10.10:
因爲直接抓到了域管理員密碼,因此能夠用域管理員帳號密碼登陸域內任意主機。爲了嘗試更多的攻擊手段,咱們嘗試利用PTH攻擊手段上線其餘主機。
PTH (pass-the-hash)在內網滲透中是一種很經典的攻擊方式,原理就是攻擊者能夠直接經過LM Hash和NTLM Hash訪問遠程主機或服務,而不用提供明文密碼。
假設咱們抓到的域用戶管理員的密碼不是明文,而是hash,咱們能夠利用PTH的方式達到和密碼一樣的效果進行登陸,咱們利用域管理員hash登陸PC(10.10.10.201),利用msf exploit/windows/smb/psexec模塊:
得到msf meterpreter:
利用CS PTH 模塊得到DC 的beacon:
全部主機都已上線:
0x04 總結
將本次行動中所採用的攻擊技術與ATT&CK框架進行映射,經分析,本次redteam行動使用的技術包括不限於:
一、T1046 Network Service Scanning
二、T1087 Account Discovery
三、T1075 Pass the Hash
四、T1076 Remote Desktop Protocol
五、T1068 Exploitation for Privilege Escalation
六、T1090 Connection Proxy
七、T1100 Web Shell
今天是大年三十,歡度佳節之際新型肺炎牽動人心,湛盧工做室衷心但願你們平平安安,記得戴口罩、勤洗手、少去人羣彙集處。祝願你們新春快樂,幸福安康!
本文分享自微信公衆號 - 湛盧工做室(xuehao_studio)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。