内网渗透实战——红日ATT&CK系列靶场（一）学习笔记

前言

这篇文章用于记录自己对红日ATT&CK系列靶场（一）的一些实战操作，锻炼自己内网渗透能力，尽可能完善渗透操作，学习内网渗透思路，练习各种攻击姿势。

环境配置

1.下载并安装好所有需要用到的虚拟机

包括红日靶场Win2K3、Win7、Win2008，外网攻击机kali、win10，以及本地主机；

2.配置网卡

编辑虚拟网络编辑器，设置VMnet1子网IP为192.168.52.0网段

Win7：另添加一块网络适配器并设置为自定义仅主机模式（VMnet1）

外网：192.168.92.100；

内网：192.168.52.143；

Win2K3：网络适配器并设置为自定义仅主机模式（VMnet1）

IP：192.168.52.141

Win2008：网络适配器并设置为自定义仅主机模式（VMnet1）

IP：192.168.52.138

3.测试连通性

Win7：

Ping外网：

Ping内网两台计算机：

Win2008与Win2K3互ping：

**4.**在win7上开启web服务

在win7的C盘找到phpstudy启动web服务

Win10物理机可正常访问win7服务器站点：

信息收集

**1.**使用nmap扫描

可以发现目标机开启了80（存在http网站）与3360端口（可能存在弱口令）

**2.**使用kali Linux访问目标80端口

**3.**使用dirsearch扫描

发现网站目录：http://192.168.92.100/phpMyAdmin

**4.**使用御剑扫描

得到相同结果

漏洞利用

1.弱口令

登录****http://192.168.92.100/phpMyAdmin，测试发现弱口令root/root，直接进入后台

2.getshell

通过select @@basedir查找绝对路径：

尝试用into outfile导马

可是失败了

换MySQL日志导马，先开启全局日志：

之后通过set GLOBAL general_log_file=’C:/phpStudy/WWW/620.php’,指定日志写入到网站根目录：

写入木马：

根据路径，查看日志：

尝试使用中国菜刀工具进行连接：成功

**3.**yxcms漏洞

用菜刀连接后，发现目录里还存在另外一个网站yxcms，尝试登录：

通过观察发现网站公告竟然有后台地址与账号密码：

访问，并用提示的账号密码登录，成功：

进入前台模板中，写入一句话木马：

使后台增加了一个shell620.php文件：

查找路径，并访问：

再次使用中国菜刀进行连接：

成功

测试XSS漏洞，首先在留言板处一句话木马：

登录到后台审核，发现弹窗：

Xss验证成功。

4.MSF监听

利用msf创建一个后门程序：

开启监听：

设置sessions：

通过之前的shell，用中国菜刀上传620x.exe：

运行程序：

验证，kali上观察到成功，并可以getsystem提权：

**5.**使用CS

ps：java环境

首先在kali启动端：kali的IP＋密码123456

在另一条win10虚拟机上运行CS客户端并连接服务端：

新建监听：

在CS上生成exe后门：

选择刚刚建立的监听：

将生成的artifact620.exe程序通过菜刀上传：

运行：

可以在CS上发现成功上线：

开启命令界面，并sleep 1设置交互时间（因为是实验环境）：

**6.**使用CS进行主机密码系统信息收集

Shell ipconfig查看目标机IP信息：

Whoami查看用户：

查看域信息：

使用CS的mimikatz功能抓取目标机用户密码：

通过CS的elevate进行账户提权：

7.MSF下会话传给CS

在kali上使用exploit/windows/local/payload_inject模块，设置sessions：

在win10的CS上观察，发现成功：

8.MSF与CS联动

在CS上建立新的foreign监听：

在kali上配置sessions：注意端口一致，运行等待：

之后在CS上新建会话，选用新建的foreign监听：

最后观察到联动成功：

**9.**使用socks功能通过CS将MSF带入内网

首先在CS上建立SOCKS：

观察proxy pivots模块：

在kali上运行msf，让msf所有模块流量都从CS的socks代理走：

同时也观察到了内网机器开放了445端口，可能存在ms17_010漏洞。

内网信息收集

**1.**其他基本信息收集

在CS上建立连接，systeminfo命令观察系统信息，同时发现目标机安装了4个补丁

Net view：

**2.**查看路由信息

**3.**通过MSF收集目标机安装的软件信息

run post/windows/gather/enum_applications

4.socks反向代理

首先新建路由：

查看路由信息：

挂起会话，建立socks：

运行后挂起了一个job：

修改proxychain文件：vim /etc/proxychains4.conf

**5.**利用MSF的ARP模块扫描52网段

通过CS进行arp扫描：

**6.**使用meterpreter关闭目标机上的防火墙

查看：

**7.**使用nmap的vuln漏洞扫描脚本进行扫描

**8.**使用msf辅助模块进行扫描，查看是否存在ms17-010漏洞

9. CS上利用目标机上的nmap对内网其他主机进行扫描

在菜刀上找到win7中的nmap软件：

利用扫描win2K3，IP：192.168.52.141：

发现可能有ms17_010\ms08_067漏洞

扫描端口：

扫描win2008，IP：192.168.52.138：

内网攻击

**1.**利用ms17_010

已经通过nmap扫描到内网主机192.168.52.141可能存在ms17_010漏洞，尝试利用：

通过msf与CS联动：

尝试添加用户：

再次set COMMAND net user并exploit执行，发现成功：

然后把添加的用户加入管理员组：

成功：

利用23端口telnet服务上传漏洞，首先通过ms17_010开启23端口与telnet服务：

之后set COMMAND net start telnet：

查看是否成功开启23端口：

进行telnet连接：

成功建立会话：

尝试利用telnet，但是失败了：

利用ms17_010测试一下2008：

成功：

**2.**利用ms08_068

通过socks将msf带入内网后利用ms08_068：

但是失败了：

**3.**SMB远程桌面口令猜测

使用msf的smb_login模块：

建立sessions，并尝试利用收集到的用户名以及密码，成功：

横向移动

**1.**利用后门

通过msf与CS联动，在win7靶机上连接域控C盘：

将之前的后门程序传到域控服务器：

运行，schtasks /create /tn "godunt" /tr C:\620x.exe /sc once /st 12:45 /S 192.168.52.138 /RU System /u administrator /p "Qwer1234”

但最终失败，无法连接。

**2.**在CS上使用psexec模块进行横向移动

新建一个smb监听：

选择域控服务器并利用psexec模块：

配置信息：

运行，并观察：

成功：

总结

本次实战通过攻打红日靶场第一关，学习了内网信息收集、漏洞利用、横向移动等知识。

实战中对靶场进行各种攻击操作，其中MS08_067漏洞利用失败，另外也未完成RPC DCOM 服务漏洞，且关于内网信息收集部分没有做到详尽，横向移动部分也只尝试了两种方法。

在攻击靶场中，也参考了网络上的攻略，学习攻击的经验以及方法，知道一些测试的思路，以及学习到了如何对获取到的信息进行整理利用。同时，在实验中学习了dirsearch、御剑、中国菜刀、msf、CS等工具软件的使用方法，在不断是运用中熟悉了相关工具的操作方法，且实现了msf与CS联动进行内网渗透及攻击。

在内网攻击部分，学习了ms17_010、ms08_068、smb_login等漏洞的原理和方法，进一步学习后门程序的利用方法。