VulnStack ATT&CK 5 靶场
VulnStack ATT&CK 5 靶场
信息搜集
端口扫描
利用 nmap 扫描端口,发现开启了两个端口: 80 和 3306
访问 80 端口 发现是 thinkphp v5 的站
随便访问一个错误页面得到其版本号是 5.0.22
漏洞搜索
searchsploit 搜索相关漏洞:
尝试使用 EXP 执行命令 ipconfig, 如下图所示:
漏洞利用
查看权限:
查看 web 目录:
写入shell:
生成远控
新建 listener
生成 payload
上传远控
连接 webshell:
上传:
执行:
反弹回的 shell:
执行 shell whoami:
权限提升
再新建一个 listener,做为提权等操作使用
(smb 和 tcp 都可以,我选择 tcp, smb 适合横向)
作者在 cs4.0 移除了漏洞exp的提权,可在https://github.com/rsmudge/ElevateKit 重新添加到 cs 中。
使用的是 ms14-058 漏洞的 exp 进行提权:
横向移动
通过 explore-Process List 先查看一下进程,看看有没有杀毒软件(在local system操作)
发现并没有杀毒软件,这样我们日后的横向移动活动将更为顺利。
关闭防火墙
使用命令 netsh advfirewall set allprofiles state off 关闭防火墙
内网的信息搜集
(先在local admin操作,因为system权限看不到登录域)
获取当前登录域
通过命令 net config workstation 获取登录域
我们可以看到,工作站域是 sun.com可现在登录域是 win7。因此我们需要一个域用户的进程来进行信息搜集
在此之前先调用 Logonpasswords 抓一波密码(在 local admin 和 local system 上操作都可以)
利用密码:
- 第一种:使用 make_token 去调用
- 第二种:使用 pth 命令生成一个新的进程注入进去
- 第三种:使用 spawn as
需要用这三种方法调用我们刚刚以及抓取的凭证以继续完全相应的信息收集操作
第一种:Make_token Make_token 是在当前的 beacon 上进行身份伪造
在当前 beacon 上,您的权限、权限或标识没有变化。但是,当您与远程资源交互时,使用的是您伪造的身份。
使用 rev2self 命令丢弃口令
第二种: PTH Pth ( pth 会生成一个进程,生成过后我们需要 steal_token,steal_token 过后也是使用 rev2self 丢弃口令)
使用命令 steal_token 7912:
第三种:Spawnas
spawnas 命令生成具有其他用户凭据的 beacon:
当然除此以可以用 Processes inject 去直接注入到某个用户的进程(这里的操作需要 system 权限,在 local system 进行操作)
查看内网的主机/域主机
使用 net view 指令查看内网的主机(加域名即为查看域主机)
查看信任域
使用 net domain_trusts 查看信任域
查看域内计算机
使用 net computers {域的dns名,这里是sun.com} 查看域内计算机:
查看域控
使用 net dclist {域名称,这里是sun} 查看域控:
查看域管理员
使用 net group \\{域控名,这里是DC} domain admins 查看域管理员:
查看域和用户的 sid
使用 whoami /all 查看域和用户的sid:
信息汇总
|
|
域提权
利用 ms14-068 域提权
导入伪造缓存:
横向到域控
(在 domain user 的 beacon 上操作)
这里创建一个 listener 作为横向演示,名字为 Lateral Movement ,我选择 smb_beacon 更好,smb beacon 能过防火墙,动静小
(在 cs4.0 中,有 jump 和 remote-exec 命令)
点击 View-Target:
因为我们已经有权限访问DC了,直接勾选下面的使用当前口令即可:
DC 成功上线:
权限维持
黄金票据
首先先利用 logonpasswords 抓一波明文(在名为DC的Beacon进行操作)
使用 dcsync 命令导出 krbtgt 的 NTLM Hash,或者,使用 hashdump 也可以导出 hash
为了方便于实践黄金票据,手动生成了一个新的域用户geekby:
