ATT&CK实战系列 - 红队实战(二)

ATT&CK实战系列 - 红队实战(二)

Sat Nov 09 2024
3 分钟

说明#

IP 配置这里不做过多说明,根据机器里的 IP 配置就行。在 WEB.de1ay.com 主机中,需要还原为最新快照,登陆时切换用户为: WEB\de1ay 密码: 1qaz@WSX 方可登录

Web 服务在 C:\Oracle\Middleware\user_projects\domains\base_domain 下,以管理员身份运行 statweblogic 服务

WP#

WebLogic 漏洞利用#

目标 IP 为:192.168.111.80。对其进行端口扫描

目标开放端口如下

  • 135
  • 445
  • 80
  • 139
  • 1433
  • 3389
  • 7001

目标开放 445 端口,检测出 OS 为 Windows Server 2008 R2 Standard 7601 Service Pack 1,尝试永恒之蓝漏洞,失败

目标开放 80 端口,访问 HTTP 服务。结果啥也没有。目标还开放了 7001,WebLogic 服务,尝试访问

进行目录爆破

得到后台 http://192.168.111.80:7001/console/login/LoginForm.jsp

尝试弱口令登录,失败。尝试使用历史漏洞攻击,成功执行 CVE_2016_0638

直接注入一个内存马,这里注入的是冰蝎

CS 上线#

关闭防火墙

SHELL
1
netsh advfirewall set allprofiles state off

查看进程,确认有没有杀毒软件。

存在数字卫士,上传一个 CS 木马,尝试上线

上线成功,而且有管理员权限。

SYSTM 提权#

既然现在有了管理员权限的 shell,那就先把数字卫士给他关了

失败,因为 OS 版本过低,尝试直接提权

提权成功了,那么其实这个数字卫士目前来说就没啥作用了,不用管它。

远程桌面连接#

读取明文密码,结果如下

开启目标 3389 端口和远程桌面功能,尝试连接

域信息收集#

查看 net view

查看域控

PLAINTEXT
1
net group "domain controllers" /domain

查看域中其他主机

PLAINTEXT
1
net group "domain computers" /domain

对当前网段进行主机发现,结果如下

获取 hash 和明文密码,结果如下

SMB 横向#

尝试 SMB 横向

DC 上线

PC 上线失败

PC 主机渗透#

在 CS 上尝试各种 SMB 横向无果;

在 CS 上利用插件扫描 MS17-010,成功,在将 CS 上线主机派生到 MSF 中,在 MSF 进行漏洞利用,失败,提示目标主机不是 64 位

使用 MS17-010 命令执行模块,直接失败

没头绪的时候,发现 PC 主机有外网 IP 192.168.111.201,而且开放了 3389 端口,利用目前收集的各种明文账户密码挨个测试,成功使用下面这条登录

登录后要求修改密码,修改后登录界面如下

等待数秒,登录成功!

关闭防火墙,关闭 360,上传木马,成功上线

这样靶场的三台主机就全部上线了!最终拓扑如下

黄金票据#

我们获得了 krbtgt 用户的 Hash,可以制造黄金票据,原理就是 kerberos 协议的内容,自行了解,这里不做介绍

我们需要拿到两个东西

  • krbtgt 用户的 Hash:82dfc71b72a11ef37d663047bc2088fb
  • 域的 SID:S-1-5-21-2756371121-2868759905-3853650604-1001

我们现在在 Web 主机生成黄金票据

我们可以直接操作其他主机