文章目录
0x00 环境搭建
靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
配置网卡,仅主机模式192.168.10.0网段模拟内网,192.168.43.0网段模拟外网:
Web服务器:windows 2008R2
外网网卡IP(桥接):192.168.43.6
内网网卡IP(仅主机):192.168.10.110
DC:windows 2012
内网网卡IP(仅主机):192.168.10.133
PC:windows 7
外网网卡IP(桥接):192.168.43.160
内网网卡IP(仅主机):192.168.10.138
拓扑如下:
0x01 信息收集
端口探测
拿到站点之后,先找到其真实ip地址(这里直接有了),探测其端口:
发现开启了80端口(http服务)、445端口(SMB服务)、1433端口(MSSQL)、3306端口(mysql服务)、7001端口(weblogic)。
目录扫描
访问80端口,一片空白:
访问7001端口是weblogic服务,试了试默认密码没有成功:
扫目录也没得到什么有价值的东西:
因为是weblogic的站,直接上工具,项目地址:https://github.com/rabbitmask/WeblogicScan
发现两个路径和一个JAVA反序列化(CVE-2019-2725):
0x02 漏洞利用
利用CVE-2019-2725反序列化漏洞,漏洞是由wls9-async组件导致的,该组件默认开启,访问http://192.168.43.6:7001/_async/AsyncResponseService看一下是否存在该漏洞:
直接上工具验证一下:
上传webshell,上传路径参考:https://www.cnblogs.com/sstfy/p/10350915.html
冰蝎连接:
上传大马上线CS,发现无法执行:
上帝视角查看是被360拦截了:
没有权限关闭360进程(后来查到通过cmd是无法关闭360的),做了个静态免杀马,还是会被动态查杀,需要搞动态免杀,添加用户也会被360拦截,冰蝎反弹的shell好多命令又不能执行:
直接放弃了,在服务器放行了大马上线CS,用ms15-05提权:
0x03 内网收集
主机信息搜集
1. 查看当前权限、账号信息:
whoami /all
2. 查看网络配置信息:
ipconfig /all
3. 查询操作系统及安装软件的版本信息:
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
5. 查询本机服务信息:
wmic service list brief
6.查看计划任务:
schtasks /query /fo LIST /v
7.查看主机开机时间:
net statistics workstation
8.查询用户列表、获取本地管理员信息、查看当前在线用户:
net user
net localgroup administrators
query user || qwinsta
9.列出或断开本地计算机和连接的客户端的会话:
net session
10.查询端口列表:
netstat -ano
11.查询补丁列表:
systeminfo
wmic qfe get Caption,Description,HotFixID,InstalledOn
12.查询本机共享:
net share
wmic share get name,path,status
13.查询路由表及所有可用接口的 ARP 缓存表
route print
Arp –A
14.查询防火墙相关配置:
netsh firewall show config
15.查看计算机代理配置情况:
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
16.查询远程连接服务:
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
查看网卡信息,发现内网ip:
域信息收集
查看是否有域,以及当前域:net config workstation
查询域内用户: net user /domain
查看域管理员用户:net group "domain admins" /domain
查看域控:net group "domain controllers" /domain 
hashdump看一下密码:
再用mimikatz抓一下密码,得到当前用户登录密码为1qaz@WSX:
之前的信息收集到3389开放,之后就可以远程登录了。
内网漏洞扫描
查看内网主机,由于Computer Browser服务禁用,无法使用net view命令,这里使用arp -a查看:
查看192.168.10.133主机端口开放情况,并发现是DC主机:
扫不到192.168.10.138主机,应该是被防火墙拦截了:
socks代理使用nmap扫描445端口,发现两台主机均存在ms17-010漏洞:
0x04 横向渗透
MS17-010
利用漏洞渗透138主机,均利用失败:
ms17-010-command模块也无法执行命令:
打130主机一样失败,直接蓝屏。
PsExec传递
使用现在这台主机中转一个监听器,利用psexec横向移动至DC:
域控成功上线:
用arp端口扫描,成功发现PC主机:
用同样的方法却无法让PC主机上线,查网上说的可能是防火墙的原因:
远程登录
使用代理远程登录上传木马并关闭防火墙:
运行木马,PC主机成功上线:
至此所有主机均已经上线,最终的枢纽图:
0x05 权限维持
域控信息收集
获取kebtgt账户的NTLM值:
然后用用mimikatz找到一个合法的sid:
黄金票据
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,再通过域内其他任意机器伪造票据重新获取最高权限。
0x06 痕迹清理
-
有远程桌面权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志 -
wevtutil:
wevtutil el 列出系统中所有日志名称
wevtutil cl system 清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security 清理安全日志 -
meterperter自带清除日志功能:
clearev 清除windows中的应用程序日志、系统日志、安全日志 -
清除recent:
在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
或直接打开C:\Users\Administrator\Recent并删除所有内容
或在命令行中输入del /f /s /q “%userprofile%\Recent*.*
总结
整体流程如下:
信息收集 => weblogic漏洞利用 => 冰蝎连接上传大马 =>WEB主机上线CS => 内网信息收集 => MS17_010利用 => PTH => DC主机上线 => 挂代理3389登录PC主机 => 上传木马 => PC主机上线 => 构造黄金票据维权 => 痕迹清理
搭建靶机用了很长时间,一开始web主机密码错误,需要切换用户登录,之后的weblogic启动报错,摸索了半天终于启动了,之后的大马又被360拦截,需要搞动态免杀。通过靶场进一步熟悉了CS的操作和域渗透的基本流程。
参考链接
https://www.cnblogs.com/sstfy/p/10350915.html(weblogic上传木马路径选择)
https://blog.csdn.net/weixin_42918771/article/details/116205764(ATT&CK实战系列—红队实战-2)
https://www.cnblogs.com/wkzb/p/12826618.html(ATT&CK实战系列——红队实战(二))
5116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
