今日投稿 | ATT&CK实战系列-红队评估（七）

gclome · 发表于 2021-3-8 22:09:41

原文链接：今日投稿 | ATT&CK实战系列-红队评估（七）

1、网络环境
靶场下载地址点击原文跳转到VulnStack下载。

ATT&CK模拟攻击路径,2021年红日重新打造ATT&CK靶场，结合ATT&CK最新攻击实战TTP，然后把相关路径结合到靶场当中，当练习者可以从攻击过程中学习到这个框架带来的好处，由于攻击方法太多，所以会选取一些具备代表性内容，可能也会选取一些APT案例。

Active Scanning-T1595
Exploit Public-facing Application-T1190
Command and Interpreter-T1059
Scheduled Task/Job-T1053
Boot or Logon Autostart Execution-T1547
Brute-Force-T1110
Input Capture-T1056
OS Credential Dumping-T1003
Remote Service-T1021
Application Layer Protocal-T1071

整个靶场环境一共五个靶机（总共27.8 GB），分别位于三层网络环境中：

DMZ区IP段为192.168.1.1/24
第二层网络环境IP段为192.168.52.1/24
第三层网络环境IP段为192.168.93.1/24

2、环境配置
在Vmware中新增两个虚拟网卡VMnet8、VMnet14。VMnet8设为默认的NAT模式，IP段设为192.168.52.0/24；VMnet14设为仅主机模式，IP段设为192.168.93.0/24：

将VMnet8作为第二层网络的网卡，VMnet14作为第三层网络的网卡。这样，第二层网络中的所有主机皆可以上网，但是位于第三层网络中的所有主机都不与外网相连通，不能上网。
DMZ区域：

给Ubuntu (Web 1) 配置了两个网卡，一个桥接可以对外提供服务；一个连接在VMnet8上连通第二层网络。

第二层网络区域：

给Ubuntu (Web 2) 和Windows 7 (PC 1)都配置了两个网卡，一个连接在VMnet8上连通第二层网络，一个连接在VMnet14上连通第三层网络。

第三次网络区域：

给Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡，一个连接在VMnet14上连通第三层网络。

3、服务配置

靶场中各个主机都运行着相应的服务并且没有自启功能，如果你关闭了靶机，再次启动时还需要在相应的主机上启动靶机服务：
DMZ区的 Ubuntu 需要启动nginx服务：

redis-server /etc/redis.conf
/usr/sbin/nginx -c /etc/nginx/nginx.conf
iptables -F

第二层网络的 Ubuntu需要启动docker容器：

sudo service docker start
sudo docker start 8e172820ac78

第三层网络的 Windows 7 （PC 2）需要启动通达OA：

C:\MYOA\bin\AutoConfig.exe

4、域用户信息

域用户账户和密码如下：

Administrator：Whoami2021
whoami：Whoami2021
bunny：Bunny2021
moretz：Moretz2021

Ubuntu 1：

web：web2021

Ubuntu 2：

ubuntu：ubuntu

通达OA账户：

admin：admin657260

5、靶场涉及知识点

信息收集：

端口扫描
端口服务识别

漏洞利用：

漏洞搜索与利用
Laravel Debug mode RCE（CVE-2021-3129）漏洞利用
Docker逃逸
通达OA v11.3 漏洞利用
Linux环境变量提权
Redis 未授权访问漏洞
Linux sudo权限提升（CVE-2021-3156）漏洞利用
SSH密钥利用
Windows NetLogon 域内权限提升（CVE-2020-1472）漏洞利用
MS14-068漏洞利用

构建隧道：

路由转发与代理
- 二层网络代理
- 三层网络代理

横向移动：

内网（域内）信息收集
MS17-010
Windows系统NTLM与用户凭据获取
SMB Relay攻击
Psexec远控利用
哈希传递攻击（PTH）
WMI利用
DCOM利用

权限维持：

黄金票据
白银票据
Sid History

		自动登录	找回密码
密码			立即注册