ATT&CK实战系列-红队评估(一)
字数 1258 2025-08-11 08:35:47

ATT&CK实战系列-红队评估(一) 教学文档

环境搭建

网络拓扑

  • WIN7(web服务器): 172.26.16.128 / 192.168.52.143 (双网卡)
  • WIN2008(域控): 192.168.52.138
  • WIN2003(域成员): 192.168.52.141

下载资源

官方环境下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

外网渗透阶段

信息收集

  1. 使用Nmap进行端口扫描:

    nmap -T4 -A 172.26.16.128

    发现HTTP服务和3306端口开放

  2. 目录扫描发现:

    • 网站备份文件
    • phpmyadmin目录
    • 获取到网站绝对路径

  3. 发现YXCMS系统(版本1.2.1)

漏洞利用

  1. 数据库弱口令爆破

    • 成功爆破MySQL: root/root
    • 通过phpmyadmin成功登录

  2. YXCMS漏洞审计结果

    • 后台弱口令: admin/123456
    • 验证码可重复使用
    • 注册账号无审核机制
    • 多处存储型XSS漏洞:
      • 留言板处
      • 内容留言处
        Payload示例: "><src = 1 onerror=alert(1)>
    • 前台模板处存在任意文件修改漏洞

  3. Getshell方法

    • 方法一: 通过YXCMS前台模板漏洞写入shell.php
      • 访问路径: http://172.26.16.128/yxcms//protected/apps/default/view/default/shell.php?8=phpinfo();
      • 使用蚁剑成功连接
    • 方法二: 通过phpmyadmin日志写shell

内网渗透阶段

横向移动准备

  1. 关闭Windows防火墙
  2. 进行内网Nmap扫描
  3. 发现445端口开放(存在永恒之蓝漏洞)

永恒之蓝利用

  1. 使用MS17-010漏洞攻击
  2. 获取meterpreter shell
  3. 将shell转移到Cobalt Strike
  4. 获取管理员权限

域环境渗透

  1. 检查RDP服务状态(默认关闭)
  2. 启用RDP服务
  3. 抓取密码尝试登录
  4. 发现域名为GOD
  5. 成功使用域用户登录

权限提升与横向移动

  1. 使用steal_token窃取域进程权限
  2. 访问域内其他主机
  3. 发现域内主机均存在永恒之蓝漏洞
  4. 轻松拿下域控主机

痕迹清理

  1. 清理系统日志
  2. 清理Windows事件日志
  3. 禁用事件服务

关键技术与工具总结

  1. 信息收集工具

    • Nmap
    • 目录扫描工具

  2. 漏洞利用

    • YXCMS漏洞利用
    • MS17-010(永恒之蓝)
    • phpmyadmin日志写shell

  3. 后渗透工具

    • Meterpreter
    • Cobalt Strike
    • 蚁剑

  4. 域渗透技术

    • 令牌窃取(steal_token)
    • 密码抓取
    • 横向移动

  5. 痕迹清理

    • 日志清除
    • 服务禁用

防御建议

  1. 针对外网渗透

    • 加强密码策略
    • 及时更新CMS系统
    • 限制phpmyadmin访问
    • 实现输入过滤和输出编码

  2. 针对内网渗透

    • 及时修补MS17-010等漏洞
    • 实施网络分段
    • 监控异常445端口活动
    • 限制域管理员权限

  3. 日志与监控

    • 保护日志完整性
    • 实施SIEM监控
    • 定期审计特权账户活动
ATT&CK实战系列-红队评估(一) 教学文档 环境搭建 网络拓扑 WIN7(web服务器) : 172.26.16.128 / 192.168.52.143 (双网卡) WIN2008(域控) : 192.168.52.138 WIN2003(域成员) : 192.168.52.141 下载资源 官方环境下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 外网渗透阶段 信息收集 使用Nmap进行端口扫描: 发现HTTP服务和3306端口开放 目录扫描发现: 网站备份文件 phpmyadmin目录 获取到网站绝对路径 发现YXCMS系统(版本1.2.1) 漏洞利用 数据库弱口令爆破 成功爆破MySQL: root/root 通过phpmyadmin成功登录 YXCMS漏洞审计结果 后台弱口令: admin/123456 验证码可重复使用 注册账号无审核机制 多处存储型XSS漏洞: 留言板处 内容留言处 Payload示例: "><src = 1 onerror=alert(1)> 前台模板处存在任意文件修改漏洞 Getshell方法 方法一: 通过YXCMS前台模板漏洞写入shell.php 访问路径: http://172.26.16.128/yxcms//protected/apps/default/view/default/shell.php?8=phpinfo(); 使用蚁剑成功连接 方法二: 通过phpmyadmin日志写shell 内网渗透阶段 横向移动准备 关闭Windows防火墙 进行内网Nmap扫描 发现445端口开放(存在永恒之蓝漏洞) 永恒之蓝利用 使用MS17-010漏洞攻击 获取meterpreter shell 将shell转移到Cobalt Strike 获取管理员权限 域环境渗透 检查RDP服务状态(默认关闭) 启用RDP服务 抓取密码尝试登录 发现域名为GOD 成功使用域用户登录 权限提升与横向移动 使用 steal_token 窃取域进程权限 访问域内其他主机 发现域内主机均存在永恒之蓝漏洞 轻松拿下域控主机 痕迹清理 清理系统日志 清理Windows事件日志 禁用事件服务 关键技术与工具总结 信息收集工具 Nmap 目录扫描工具 漏洞利用 YXCMS漏洞利用 MS17-010(永恒之蓝) phpmyadmin日志写shell 后渗透工具 Meterpreter Cobalt Strike 蚁剑 域渗透技术 令牌窃取(steal_ token) 密码抓取 横向移动 痕迹清理 日志清除 服务禁用 防御建议 针对外网渗透 加强密码策略 及时更新CMS系统 限制phpmyadmin访问 实现输入过滤和输出编码 针对内网渗透 及时修补MS17-010等漏洞 实施网络分段 监控异常445端口活动 限制域管理员权限 日志与监控 保护日志完整性 实施SIEM监控 定期审计特权账户活动