除夕 | ATT&CK红队评估实战靶场vulnstack

开源靶场VulnStack是由国内红日安全团队打造一个靶场知识平台。靶场设计思路来源ATT&CK红队评估模式，从漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场。目前已有4个靶场环境，都可以通过百度云盘下载。 本次实战靶场地址：

http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

拓扑如下：

WIN2K8 ---- web 模拟外网 / 192.168.136.200 & 10.10.10.80 双网卡

PC ---------- 模拟内网主机 / 10.10.10.201

DC --------- 域控机器 / 10.10.10.10

0x01 DMZ区打点

查看一下DMZ区服务器192.168.136.200开放端口，发现7001

存在weblogic反序列化RCE，CVE-2019-2725，上传冰蝎后门：

获得webshell

为了方便后续内网横向移动，利用webshell 反弹shell至MSF 和 cobaltstrike：

0x02 内网信息收集

查看当前权限，发现为域控管理员权限：

可以利用CS的权限提升模块进一步提升为system权限：

ipconfig 发现双网卡，另一网段为10.10.10.0/24:

ARP 探测发现另外两台主机 10.10.10.10和10.10.10.201:

域内信息收集： 定位域控：

net group "Domain controllers"  /domain 

域控主机名为DC,IP为10.10.10.10。

定位域管理员：

net group "domain admins" /domain   

域管理员为de1ay/administrator

0x03 横向移动

拿到DMZ WEB服务器system权限后，该服务器在域de1ay中，可以尝试抓hash、抓密码，分别获得administrator、mssql两个用户的密码：

拿到域管理密码后，就可以直接登录域控，在此之前，还需要搭建隧道，做流量转发，让攻击机可以直接访问内网。

MSF、CS都有socks 代理服务，以MSF代理为例：

在攻击机中使用代理客户端加载mstsc，即可访问到域控10.10.10.10：

由于直接抓到了域管理员密码，所以可以用域管理员账号密码登录域内任意主机。为了尝试更多的攻击手段，我们尝试利用PTH攻击手段上线其他主机。

PTH （pass-the-hash）在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。

假设我们抓到的域用户管理员的密码不是明文，而是hash，我们可以利用PTH的方式达到和密码同样的效果进行登录，我们利用域管理员hash登录PC（10.10.10.201），利用msf exploit/windows/smb/psexec模块：

获得msf meterpreter：

利用CS PTH 模块获得DC 的beacon：

所有主机都已上线：

0x04 总结

将本次行动中所采用的攻击技术与ATT&CK框架进行映射，经分析，本次redteam行动使用的技术包括不限于：

1、T1046 Network Service Scanning 2、T1087 Account Discovery 3、T1075 Pass the Hash 4、T1076 Remote Desktop Protocol 5、T1068 Exploitation for Privilege Escalation 6、T1090 Connection Proxy 7、T1100 Web Shell

今天是大年三十，欢度佳节之际新型肺炎牵动人心，湛卢工作室衷心希望大家平平安安，记得戴口罩、勤洗手、少去人群聚集处。祝愿大家新春快乐，幸福安康！