除夕 | ATT&CK红队评估实战靶场vulnstack

2020-02-14 16:09:29 浏览数 (3)

开源靶场VulnStack是由国内红日安全团队打造一个靶场知识平台。靶场设计思路来源ATT&CK红队评估模式,从漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场。目前已有4个靶场环境,都可以通过百度云盘下载。 本次实战靶场地址:

http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

拓扑如下:

WIN2K8 ---- web 模拟外网 / 192.168.136.200 & 10.10.10.80 双网卡

PC ---------- 模拟内网主机 / 10.10.10.201

DC --------- 域控机器 / 10.10.10.10

0x01 DMZ区打点

查看一下DMZ区服务器192.168.136.200开放端口,发现7001

存在weblogic反序列化RCE,CVE-2019-2725,上传冰蝎后门:

获得webshell

为了方便后续内网横向移动,利用webshell 反弹shell至MSF 和 cobaltstrike:

0x02 内网信息收集

查看当前权限,发现为域控管理员权限:

可以利用CS的权限提升模块进一步提升为system权限:

ipconfig 发现双网卡,另一网段为10.10.10.0/24:

ARP 探测发现另外两台主机 10.10.10.10和10.10.10.201:

域内信息收集: 定位域控:

代码语言:javascript复制
net group "Domain controllers"  /domain 

域控主机名为DC,IP为10.10.10.10。

定位域管理员:

代码语言:javascript复制
net group "domain admins" /domain   

域管理员为de1ay/administrator

0x03 横向移动

拿到DMZ WEB服务器system权限后,该服务器在域de1ay中,可以尝试抓hash、抓密码,分别获得administrator、mssql两个用户的密码:

拿到域管理密码后,就可以直接登录域控,在此之前,还需要搭建隧道,做流量转发,让攻击机可以直接访问内网。

MSF、CS都有socks 代理服务,以MSF代理为例:

在攻击机中使用代理客户端加载mstsc,即可访问到域控10.10.10.10:

由于直接抓到了域管理员密码,所以可以用域管理员账号密码登录域内任意主机。为了尝试更多的攻击手段,我们尝试利用PTH攻击手段上线其他主机。

PTH (pass-the-hash)在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。

假设我们抓到的域用户管理员的密码不是明文,而是hash,我们可以利用PTH的方式达到和密码同样的效果进行登录,我们利用域管理员hash登录PC(10.10.10.201),利用msf exploit/windows/smb/psexec模块:

获得msf meterpreter:

利用CS PTH 模块获得DC 的beacon:

所有主机都已上线:

0x04 总结

将本次行动中所采用的攻击技术与ATT&CK框架进行映射,经分析,本次redteam行动使用的技术包括不限于:

1、T1046 Network Service Scanning 2、T1087 Account Discovery 3、T1075 Pass the Hash 4、T1076 Remote Desktop Protocol 5、T1068 Exploitation for Privilege Escalation 6、T1090 Connection Proxy 7、T1100 Web Shell

今天是大年三十,欢度佳节之际新型肺炎牵动人心,湛卢工作室衷心希望大家平平安安,记得戴口罩、勤洗手、少去人群聚集处。祝愿大家新春快乐,幸福安康!

0 人点赞