安全矩阵

 找回密码
 立即注册
搜索
查看: 2371|回复: 0

今日投稿 | ATT&CK实战系列-红队评估(七)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-8 22:09:41 | 显示全部楼层 |阅读模式
原文链接:今日投稿 | ATT&CK实战系列-红队评估(七)


1、网络环境
靶场下载地址点击原文跳转到VulnStack下载。

ATT&CK模拟攻击路径,2021年红日重新打造ATT&CK靶场,结合ATT&CK最新攻击实战TTP,然后把相关路径结合到靶场当中,当练习者可以从攻击过程中学习到这个框架带来的好处,由于攻击方法太多,所以会选取一些具备代表性内容,可能也会选取一些APT案例。
  • Active Scanning-T1595
  • Exploit Public-facing Application-T1190
  • Command and Interpreter-T1059
  • Scheduled Task/Job-T1053
  • Boot or Logon Autostart Execution-T1547
  • Brute-Force-T1110
  • Input Capture-T1056
  • OS Credential Dumping-T1003
  • Remote Service-T1021
  • Application Layer Protocal-T1071


整个靶场环境一共五个靶机(总共27.8 GB),分别位于三层网络环境中:


  • DMZ区IP段为192.168.1.1/24
  • 第二层网络环境IP段为192.168.52.1/24
  • 第三层网络环境IP段为192.168.93.1/24


2、环境配置
在Vmware中新增两个虚拟网卡VMnet8、VMnet14。VMnet8设为默认的NAT模式,IP段设为192.168.52.0/24;VMnet14设为仅主机模式,IP段设为192.168.93.0/24:



将VMnet8作为第二层网络的网卡,VMnet14作为第三层网络的网卡。这样,第二层网络中的所有主机皆可以上网,但是位于第三层网络中的所有主机都不与外网相连通,不能上网。
DMZ区域:
  • 给Ubuntu (Web 1) 配置了两个网卡,一个桥接可以对外提供服务;一个连接在VMnet8上连通第二层网络。

第二层网络区域:
  • 给Ubuntu (Web 2) 和Windows 7 (PC 1)都配置了两个网卡,一个连接在VMnet8上连通第二层网络,一个连接在VMnet14上连通第三层网络。

第三次网络区域:
  • 给Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡,一个连接在VMnet14上连通第三层网络。


3、服务配置

靶场中各个主机都运行着相应的服务并且没有自启功能,如果你关闭了靶机,再次启动时还需要在相应的主机上启动靶机服务:
DMZ区的 Ubuntu 需要启动nginx服务:
  • redis-server /etc/redis.conf
  • /usr/sbin/nginx -c /etc/nginx/nginx.conf
  • iptables -F

第二层网络的 Ubuntu需要启动docker容器:
  • sudo service docker start
  • sudo docker start 8e172820ac78

第三层网络的 Windows 7 (PC 2)需要启动通达OA:
  • C:\MYOA\bin\AutoConfig.exe



4、域用户信息



域用户账户和密码如下:

  • Administrator:Whoami2021
  • whoami:Whoami2021
  • bunny:Bunny2021
  • moretz:Moretz2021

Ubuntu 1:
  • web:web2021

Ubuntu 2:
  • ubuntu:ubuntu

通达OA账户:
  • admin:admin657260




5、靶场涉及知识点

信息收集:

  • 端口扫描
  • 端口服务识别

漏洞利用:
  • 漏洞搜索与利用
  • Laravel Debug mode RCE(CVE-2021-3129)漏洞利用
  • Docker逃逸
  • 通达OA v11.3 漏洞利用
  • Linux环境变量提权
  • Redis 未授权访问漏洞
  • Linux sudo权限提升(CVE-2021-3156)漏洞利用
  • SSH密钥利用
  • Windows NetLogon 域内权限提升(CVE-2020-1472)漏洞利用
  • MS14-068漏洞利用

构建隧道:
  • 路由转发与代理

    • 二层网络代理
    • 三层网络代理

横向移动:
  • 内网(域内)信息收集
  • MS17-010
  • Windows系统NTLM与用户凭据获取
  • SMB Relay攻击
  • Psexec远控利用
  • 哈希传递攻击(PTH)
  • WMI利用
  • DCOM利用

权限维持:
  • 黄金票据
  • 白银票据
  • Sid History























回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 23:54 , Processed in 0.015361 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表