VulnStack ATT & CK 5 靶场

Question

信息搜集

端口扫描

利用 nmap 扫描端口,发现开启了两个端口: 80 和 3306

访问 80 端口 发现是 thinkphp v5 的站

随便访问一个错误页面得到其版本号是 5.0.22

漏洞搜索

searchsploit 搜索相关漏洞：

尝试使用 EXP 执行命令 ipconfig , 如下图所示:

漏洞利用

查看权限：

查看 web 目录：

写入 shell：

生成远控

新建 listener

生成 payload

上传远控

连接 webshell：

上传：

执行：

反弹回的 shell：

执行 shell whoami ：

权限提升

再新建一个 listener ，做为提权等操作使用 ( smb 和 tcp 都可以，我选择 tcp , smb 适合横向)

作者在 cs4.0 移除了漏洞 exp 的提权，可在 https://github.com/rsmudge/ElevateKit 重新添加到 cs 中。

使用的是 ms14-058 漏洞的 exp 进行提权：

横向移动

通过 explore-Process List 先查看一下进程，看看有没有杀毒软件（在 local system 操作)

发现并没有杀毒软件，这样我们日后的横向移动活动将更为顺利。

关闭防火墙

使用命令 netsh advfirewall set allprofiles state off 关闭防火墙

内网的信息搜集

(先在 local admin 操作,因为 system 权限看不到登录域)

获取当前登录域

通过命令 net config workstation 获取登录域

我们可以看到，工作站域是 sun.com 可现在登录域是 win7 。因此我们需要一个域用户的进程来进行信息搜集

在此之前先调用 Logonpasswords 抓一波密码（在 local admin 和 local system 上操作都可以)

利用密码：

• 第一种:使用 make_token 去调用
• 第二种:使用 pth 命令生成一个新的进程注入进去
• 第三种:使用 spawn as

需要用这三种方法调用我们刚刚以及抓取的凭证以继续完全相应的信息收集操作

第一种： Make_token Make_token 是在当前的 beacon 上进行身份伪造

在当前 beacon 上，您的权限、权限或标识没有变化。但是，当您与远程资源交互时，使用的是您伪造的身份。

使用 rev2self 命令丢弃口令

第二种: PTH Pth ( pth 会生成一个进程，生成过后我们需要 steal_token ， steal_token 过后也是使用 rev2self 丢弃口令)

使用命令 steal_token 7912 ：

第三种： Spawnas spawnas 命令生成具有其他用户凭据的 beacon :

当然除此以可以用 Processes inject 去直接注入到某个用户的进程（这里的操作需要 system 权限，在 local system 进行操作)

查看内网的主机/域主机

使用 net view 指令查看内网的主机（加域名即为查看域主机)

查看信任域

使用 net domain_trusts 查看信任域

查看域内计算机

使用 net computers {域的 dns 名,这里是 sun.com} 查看域内计算机：

查看域控

使用 net dclist {域名称,这里是 sun} 查看域控:

查看域管理员

使用 net group \\{域控名,这里是 DC} domain admins 查看域管理员:

查看域和用户的 sid

使用 whoami /all 查看域和用户的 sid:

信息汇总

域名:sun.com
域管理员:sun\administrator 
域用户:administrator，admin，leo 和一个 krbtgt
域控:DC
域成员:DC，Win7
域控 ip:192.168.138.138 
用户 sid:S-1-5-21-3388020223-1982701712-4030140183-1110 
域 sid:S-1-5-21-3388020223-1982701712-4030140183
已知凭据:
sun\leo:123.com
win7\heart:123.com

域提权

利用 ms14-068 域提权

导入伪造缓存:

横向到域控

(在 domain user 的 beacon 上操作) 这里创建一个 listener 作为横向演示，名字为 Lateral Movement ，我选择 smb_beacon 更好， smb beacon 能过防火墙，动静小 (在 cs4.0 中，有 jump 和 remote-exec 命令)

点击 View-Target :

因为我们已经有权限访问 DC 了，直接勾选下面的使用当前口令即可:

DC 成功上线：

权限维持

黄金票据

首先先利用 logonpasswords 抓一波明文（在名为 DC 的 Beacon 进行操作)

使用 dcsync 命令导出 krbtgt 的 NTLM Hash ，或者，使用 hashdump 也可以导出 hash

为了方便于实践黄金票据，手动生成了一个新的域用户 geekby: