ATT CK实战1

ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型

0×01 前言

什么是 ATT&CK

ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。

该模型由 MITRE 公司提出,这个公司一直以来都在为美国军方做威胁建模,之前著名的 STIX 模型也是由该公司提出的。

ATT&CK 导航器

0×02 靶场环境

1 概述

此实战靶场共 3 台主机,

  1. Win7 作为 Web 服务器,是打入此实战靶场的第一个目标和入手点。
  2. Win2K3 为内网域成员主机,
  3. WinSever 2008 R2 为内网域控主机。

2 网络拓扑及 IP 规划

  • Kail 攻击机只有外网网卡——外网 IP:10.0.19.107
  • Windows 7 有双网卡,也就是内外网 IP
    • 外网 IP:10.0.19.82
    • 内网 IP:192.168.52.143 且此服务器存在 yxcms
  • Windows 2008 只有内网网卡
    • 内网 IP:192.168.52.138
  • Win2k3 只有内网网卡
    • 内网 IP:192.168.52.141

3 靶机服务启动

在 Win7 主机上开启 phpstuday,使用 kali 攻击机访问

0×03 漏洞利用

1 信息收集

1.1 首先使用 nmap 探测活跃主机地址

发现多个端口以及对应的服务

1.2 发现主机开启 80 端口,尝试访问
  • 得到了管理员邮箱,可以使用社工攻击或钓鱼邮件等
  • 一些版本信息,可以搜集对应版本是否存在漏洞等,
  • 绝对路径,可以用于 SQL 注入写入一句话木马

1.3 使用 dirsearch+御剑进行目录扫描
  • 得到 phpmyadmin 数据库登录界面,
  • beifen.rar 解压后猜测为 YXcms 网站管理系统的备份文件,尝试访问。


获得相关敏感信息

2 漏洞利用

2.1 YXCMS 弱口令


默认弱口令进入后台

2.2 PHPMYADMIN 弱口令

root/root 弱口令登录成功

2.3 YXCMS 后台任意文件读写漏洞
  1. 直接在前台模板创建新的模板,内容为一句话木马

2.根据备份文件获取文件路径

3.中国蚂剑连接小马

2.4 反弹 shell,MSF 监听

生成相关恶意代码

上传脚本

0×04 内网渗透

1 Cobalt Strike 监听上线

1.1 监听

1.2 上传木马

1.3 运行木马

1.4 目标上线

2 Cobalt Strike 提权

2.1 选择 beacon,右键,执行–>提权

2.2 hashdump

2.3 判断网络

模拟内网:192.168.52.143
模拟外网:10.0.19.36

3 判断是否有域

3.1 whoami:

1
2
3
4
5
beacon> shell whoami
[*] Tasked beacon to run: whoami
[+] host called home, sent: 37 bytes
[+] received output:
nt authority\system

3.2 hostname

1
2
3
4
5
beacon> shell hostname
[*] Tasked beacon to run: hostname
[+] host called home, sent: 39 bytes
[+] received output:
stu1

3.3 systeminfo

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

beacon> shell systeminfo
[*] Tasked beacon to run: systeminfo
[+] host called home, sent: 41 bytes
[+] received output:

主机名:           STU1
OS 名称:          Microsoft Windows 7 专业版
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          成员工作站
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:
产品 ID:          00371-177-0000061-85693
初始安装日期:     2019/8/25, 9:54:10
系统启动时间:     2020/7/14, 15:20:07
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 1 个处理器。
                  [01]: Intel64 Family 6 Model 158 Stepping 10 GenuineIntel ~3192 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2017/5/19
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   1,353 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用:   3,243 MB
虚拟内存: 使用中: 852 MB
页面文件位置:     C:\pagefile.sys
域:               god.org
登录服务器:       暂缺
修补程序:         安装了 4 个修补程序。
                  [01]: KB2534111
                  [02]: KB2999226
                  [03]: KB958488
                  [04]: KB976902
网卡:             安装了 6 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   是
                      DHCP 服务器: 10.0.100.200
                      IP 地址
                        [01]: 10.0.19.36
                        [02]: fe80::fd35:b9ba:b03:c236
                  [02]: Bluetooth 设备(个人区域网)
                      连接名:      Bluetooth 网络连接
                      状态:        媒体连接已中断
                  [03]: TAP-Windows Adapter V9
                      连接名:      本地连接 2
                      状态:        媒体连接已中断
                  [04]: Microsoft Loopback Adapter
                      连接名:      Npcap Loopback Adapter
                      状态:        没有硬件
                  [05]: TAP-Windows Adapter V9
                      连接名:      本地连接 3
                      状态:        媒体连接已中断
                  [06]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接 4
                      启用 DHCP:   否
                      IP 地址
                        [01]: 192.168.52.143

3.4 net view /domain

1
2
3
4
5
6
7
8
9
beacon> shell net view /domain
[*] Tasked beacon to run: net view /domain
[+] host called home, sent: 47 bytes
[+] received output:
Domain

-------------------------------------------------------------------------------
GOD
命令成功完成。

4 域内存活主机探测/系统/端口

4.1 Ladon

Ladon 一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键 GetShell,支持批量 A 段/B 段/C 段以及跨网段扫描,支持 URL、主机、域名列表扫描。7.2 版本内置 94 个功能模块,外部模块 18 个,通过多种协议以及方法快速获取目标网络存活主机 IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息
github:Ladon
在脚本管理器中导入【Ladon.cna】,即可在 Beacon 中使用

4.1 Ladon 192.168.52.0/24 OnlinePC

输出

  • 192.168.52.138 DC
  • 192.168.52.141 域成员
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
beacon> Ladon 192.168.52.0/24 OnlinePC
[+] host called home, sent: 1036389 bytes
[+] received output:
Ladon 7.0
Start: 2020-09-02 11:22:35
Runtime: .net 4.0  OS Arch: x64
OS Name: Microsoft Windows 7 专业版
192.168.52.0/24
load OnlinePC
192.168.52.0/24 is Valid CIDR
IPCound: 256
Scan Start: 2020-09-02 11:22:36

[+] received output:
ICMP: 192.168.52.143	00-0C-29-A0-BA-7E	www.qiyuanxuetang.net	VMware

[+] received output:
ICMP: 192.168.52.138	00-0C-29-BE-51-EE	owa            	VMware

[+] received output:
ICMP: 192.168.52.141	00-0C-29-FB-21-F7	ROOT-TVI862UBEH	VMware

[+] received output:
=============================================
OnlinePC:3
Cidr Scan Finished!
End: 2020-09-02 11:23:07

4.2 Ladon 192.168.52.0/24 OsScan

输出

  • 192.168.52.138 00-0C-29-BE-51-EE god.org\OWA     [Win 2008 R2 Datacenter 7601 SP 1] VMware
  • 192.168.52.141 00-0C-29-FB-21-F7 god.org\ROOT-TVI862UBEH [Win 2003 3790] VMware
  • 192.168.52.143 00-0C-29-A0-BA-7E god.org\STU1   [Win 7 Professional 7601 SP 1] VMware
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
beacon> Ladon 192.168.52.0/24 OsScan
[+] host called home, sent: 1036385 bytes
[+] received output:
Ladon 7.0
Start: 2020-09-02 11:26:17
Runtime: .net 4.0  OS Arch: x64
OS Name: Microsoft Windows 7 专业版
192.168.52.0/24
load OsScan
IP	Mac	Domain/HostName	OSversion/Service	Vendor
192.168.52.0/24 is Valid CIDR
IPCound: 256
Scan Start: 2020-09-02 11:26:17

[+] received output:
192.168.52.138 	00-0C-29-BE-51-EE	god.org\OWA    	[Win 2008 R2 Datacenter 7601 SP 1]	VMware
192.168.52.141 	00-0C-29-FB-21-F7	god.org\ROOT-TVI862UBEH	[Win 2003 3790]	VMware

[+] received output:
192.168.52.143 	00-0C-29-A0-BA-7E	god.org\STU1   	[Win 7 Professional 7601 SP 1]	VMware

[+] received output:
=============================================
OnlinePC:3
Cidr Scan Finished!
End: 2020-09-02 11:26:44

4.3 Ladon 192.168.52.0/24 PortScan

输出
192.168.52.143

  • 192.168.52.143 445 Open -> Default is SMB
  • 192.168.52.143 3306 Open -> Default is Mysql -> Banner: N
  • 192.168.52.143 80  Open -> Default is Web -> Banner: HTTP/1.1 400 Bad Request Date: Wed, 02 Sep 2020 03:29:21 GMT Server: Apache/2.4.23 (Win32) OpenSSL -> Hex: (485454502F312E31203430302042616420526571756573740D0A446174653A205765642C2030322053657020323032302030333A32393A323120474D540D0A5365727665723A204170616368652F322E342E3233202857696E333229204F70656E53534C)
  • 192.168.52.143 139 Open -> Default is Netbios -> Banner: ?

192.168.52.138

  • 192.168.52.138 389 Open -> Default is LDAP
  • 192.168.52.138 445 Open -> Default is SMB
  • 192.168.52.138 80  Open -> Default is Web -> Banner: HTTP/1.1 400 Bad Request Content-Length: 334 Content-Type: text/html; charset=us-ascii Server: Mi -> Hex: (485454502F312E31203430302042616420526571756573740D0A436F6E74656E742D4C656E6774683A203333340D0A436F6E74656E742D547970653A20746578742F68746D6C3B20636861727365743D75732D61736369690D0A5365727665723A204D69)
  • 192.168.52.138 139 Open -> Default is Netbios -> Banner: ?

192.168.52.141

  • 192.168.52.141 139 Open -> Default is Netbios -> Banner: ?
  • 192.168.52.141 21  Open -> Default is FTP -> Banner: 220 Microsoft FTP Service  -> Hex: (323230204D6963726F736F66742046545020536572766963650D0A)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
beacon> Ladon 192.168.52.0/24 PortScan
[+] host called home, sent: 1036389 bytes
[+] received output:
Ladon 7.0
Start: 2020-09-02 11:29:20
Runtime: .net 4.0  OS Arch: x64

[+] received output:
OS Name: Microsoft Windows 7 专业版
192.168.52.0/24
load PortScan
192.168.52.0/24 is Valid CIDR
IPCound: 256
Scan Start: 2020-09-02 11:29:20

[+] received output:
PCname: 192.168.52.143 www.qiyuanxuetang.net
PCname: 192.168.52.138 owa

[+] received output:
192.168.52.143 80  Open -> Default is Web -> Banner: HTTP/1.1 400 Bad Request Date: Wed, 02 Sep 2020 03:29:21 GMT Server: Apache/2.4.23 (Win32) OpenSSL -> Hex: (485454502F312E31203430302042616420526571756573740D0A446174653A205765642C2030322053657020323032302030333A32393A323120474D540D0A5365727665723A204170616368652F322E342E3233202857696E333229204F70656E53534C)
192.168.52.143 139 Open -> Default is Netbios -> Banner: ?

5 查找域控

1
2
3
# 域用户权限
net time /domain
net group "domain controllers" /domain

6 横向移动

6.1 SMB Beacon

因为 192.168.52.0/24 段不能直接连接到 192.168.72.129(kali 地址),所以需要 CS 派生 smb beacon。让内网的主机连接到 win7 上。

SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon 获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时可能发挥奇效。

6.2 psexec

显示目标

登录

导入口令

上线

7 拿下域控

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Litten,<br>毕业于安理,就职于启明星辰<br><br>热爱登高和游泳,<br/>目前是一枚安全开发工程师<br/><br/>道路千万条,安全第一条,<br>研究不规范,亲人两行泪。