内网渗透｜ATT&CK红队评估实战靶场-2

0x00：写在前面

补一下靶场环境

win7：192.168.0.102(桥接网卡）192.168.52.143（Nat网卡） VM1

win2003：192.168.52.141（Nat网卡） VM2

win2008r2：192.168.52.138（Nat网卡） VM3

拓扑图如上，上一篇已经拿到了VM1的shell，且进行了主机与域内信息收集，通过收集的信息已经确定了域控ip，和大致能描绘出内网基本拓扑图，如上期所说，此靶场难度为易，非常适合练习内网渗透各种姿势！

0x01：横向移动

开始整活

一开始通过VM1的phpmyadmin日志写马获取到了蚁剑shell，上传木马进行CS上线

进程注入提权为system权限

右键视图中第一个会话选择执行->转储Hash

成功读取出win7这台主机的账号密码，点击凭据列表可知如下结果，因为此时域控就在win7登陆着，所以直接可以读出来域控的Administrator的明文密码。

在上篇中，通过CS的会话net view功能，探测出内网存活主机如下，确定了域控IP为192.168.52.138。那么此时就已经本次渗透测试结束了，有了域控账号密码还有其ip，当然这就是靶场的特殊性所在，练习为主。实战很难有这么顺利。

这里就引出我们第一种方法，可以进行CS的psexec模块进行登录。

要进行账号密码登录域控win2008那台主机，直接本地CS起一个监听肯定是不行的，因为不通目标网，所以这里采用win7作为跳板的形式，起一个win7的派生smb beacon。

关于smb beacon,使用windows命名管道进行流量封装，再通过父beacon进行通信，流量相对较隐蔽，对于绕过防火墙有奇效。

再在目标视图内，右击目标选择 psexec，进行配置选项。

显示成功获得域控主机OWA的beacon，且权限为system。

直接type查看域控桌面的flag即可。

0x02：方法2：CS联动metasploit进行横向移动

上面这种方法太过理想化

拿到win7shell后，有多种选择，弹到metasploit，CS上线，弹到Empire或者直接代理把内网代理出来硬撸，方法多多，但用工具辅助一定会提高渗透效率。

CS视图列表中有个主机和端口扫描，信息收集上篇已做

CS和metasploit联动，需要CS起一个foreign监听，然后metasploit加载监听模块，cs的beacon进行派生即可。

弹到meterpreter以后，添加52网段的路由。

查看当前已经添加的路由

msf自带socket模块，但因为是S4的不稳定，这里我们通过蚁剑或者meterpreter上传ew进行socket5代理，在win7上执行下面语句

netsh advfirewall set allprofiles state off 关闭防火墙ew_for_Win.exe -s ssocksd -l 9999 开启socket代理

socket代理：192.168.0.102 9999

那么此时攻击机可以选择 proxychains进行一些端口探测、访问其网站、打一些exp，注意ping命令不可以，因为socket协议不支持icmp

浏览器挂上socket5代理，访问域控可得到这个页面

这里直接ms17-010直接打域控即可，我们msf流量已经代理进了内网。这是最简单的一种方法。

使用msf的auxiliary/admin/smb/ms17010command 模块进行读取flag操作。同样的域控权限就拿到了。

0x03:总结

此靶场票据注入、ms14-068、WMI等等均可获取域控服务器权限。很不错的综合域渗透基础靶场，后续会慢慢补全其他姿势。

关于星云博创：

星云博创科技有限公司（以下简称星云博创），成立于2016年，是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。公司总部位于北京市朝阳区，在全国各省、市、自治区设立分、子公司及办事处十余个，拥有覆盖全国的渠道体系和技术支持中心。

星云博创始终坚持“诚信为本、技术领先、服务本地化、用户第一”的宗旨，经过多年耕耘，为政府、电信、教育等行业用户提供可信的安全保障，帮助客户建立完善的安全保障体系。到目前为止，公司用户遍及全国多个省、市、自治区，已经成为国内安全合规性审计、云安全平台、态势感知平台的主流厂商。