红日靶场2
靶场环境攻击机器:192.168.142.133(模拟外网)
PC机器:192.168.142.210(模拟外网)、192.168.140.210(模拟内网)
WEB机器:192.168.142.230(模拟外网)、192.168.140.230(模拟内网)
DC机器:192.168.140.220(模拟内网)
(1)通过arp-scan命令探测存活主机
arp-scan -lhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006183521482-1804497185.png
(2)发现存在192.168.142.210、192.168.142.230存活,使用nmap进行端口探测
nmap -sV -Pn 192.168.142.210https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006183656470-958073759.png
nmap -sV -Pn 192.168.142.230https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006183938503-794522999.png
(3)发现192.168.142.230主机开放的web服务,尝试访问80端口,啥也没有,尝试访问7001端口
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184034943-2139331626.png
(4)使用Weblogic漏洞检测工具进行检测,成功发现漏洞
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184102459-79114410.png
(5)尝试使用内存马注入,用冰蝎上线
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184115386-639966515.png
(6)成功上线冰蝎
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184124896-1075999692.png
(7)只是普通域用户,需要提权,生成后门尝试上线到CS
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184130509-1225742145.png
(8)成功上线CS,通过CS进行提权
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184145524-1911967301.png
(9)没一分钟被360查杀了,尝试使用msf免杀,上传到WEB机器
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184154898-1317274016.png
(10)尝试了msf免杀,CS插件免杀、加壳等,一直被查杀。直接把360关了,以后学习了免杀再来对付。
(11)重新上线CS,继续往下探索。使用CS自带提权工具提权拿到system权限
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184202444-451655619.png
(12)查看用户信息
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184208457-886475948.png
(13)使用mimikatz抓取密码、NTLM哈希,直接抓到明文了(我记得Windows2012之后就已经抓不到明文了)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184215697-861010746.png
(14)拿到明文密码后,建立IPC连接进行横向
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184227645-1448014952.png
(15)测试是否可以远程查看文件夹
shell dir \\192.168.140.220\c$https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184235786-1306532378.png
(16)尝试计划任务、系统服务上线DC机器
方法一:使用系统服务上线(未成功)
shell copy candada.exe \\192.168.140.220\C$
shell sc \\192.168.140.220 create test binpath= "cmd.exe /c c:\candada.exe"
shell sc \\192.168.140.220 start testhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184245732-1189760509.png
方法二:使用计划任务上线(未成功)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184252606-728870046.png
(17)尝试PTH横向
方法一:使用mimikatz进行PTH横向(需要远程登录到WEB机器才能下一步操作),再通过todesk、gotohttp、rustdesk等远程工具或者3389远程控制进行操作
mimikatz sekurlsa::pth /user:administrator /domain:de1ay.com /ntlm:161cff084477fe596a5db81874498a24https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184259160-1235290635.png
方法二:使用CS自带的PTH直接上线,又出现了问题。我在address中没有发现存在192.168.140.220(DC机器),通过net view命令,也没办法探测。
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184306870-1899446379.png
(18)因为计划任务、系统服务都没办法成功上线DC机器,PTH、PTK、PTT攻击都需要配合计划任务或者系统服务上线DC机器,只能尝试其他横向的办法了。
尝试使用IPC配合PsExec上线CS
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184312693-88921032.png
成功了,但是DC机器没有上线到CS,突然意识到,DC机器可能不出网,导致没办法回连。那之前计划任务、系统服务上线DC机器的没反应,有可能也是因为不出网的原因。
(19)目前掌握CS不出网的技术有SMB-Beacon上线、TCP-Beacon上线、http代理技术+端口转发技术、CS中转技术
SMB-Beacon上线(成功)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184319981-1074540399.png
TCP-Beacon上线(失败)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184325452-915562158.png
http代理技术+端口转发技术(成功)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184332993-1883533684.png
CS中转技术(成功)
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184347291-1746405215.png
(20)拿下域控后,PC机器通过IPC横向配合PsExec拿下
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231006184353207-542905559.png
基本流程:
arp-scan主机探测-》nmap端口探测-》通过Weblogic工具发现漏洞并利用内存马注入-》通过冰蝎连接拿到shell-》上线CS进行提权-》通过system权限抓取密码-》拿到密码后IPC横向-》通过IPC横向配合计划任务-》系统服务上线CS-》发现DC机器不出网-》通过SMB-Beacon、TCP-Beacon、HTTP代理+端口转发、CS中转技术上线DC机器-》IPC横向+PsExec上线PC机器
不足:
(1)在打靶过程中,不会免杀技术,上传的CS马和msf马一下就被查杀。
(2)CS想通过PTH上线时,拿到了NTLM哈希值,但是发现找不到主机,net view命令也执行不了。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]