ATT&CK实战系列 - 红队实战(二)

说明

IP 配置这里不做过多说明，根据机器里的 IP 配置就行。在 WEB.de1ay.com 主机中，需要还原为最新快照，登陆时切换用户为: WEB\de1ay  密码: 1qaz@WSX 方可登录

Web 服务在 C:\Oracle\Middleware\user_projects\domains\base_domain 下，以管理员身份运行 statweblogic 服务

WP

WebLogic 漏洞利用

目标 IP 为：192.168.111.80。对其进行端口扫描

目标开放端口如下

• 135
• 445
• 80
• 139
• 1433
• 3389
• 7001

目标开放 445 端口，检测出 OS 为 Windows Server 2008 R2 Standard 7601 Service Pack 1，尝试永恒之蓝漏洞，失败

目标开放 80 端口，访问 HTTP 服务。结果啥也没有。目标还开放了 7001，WebLogic 服务，尝试访问

进行目录爆破

得到后台 http://192.168.111.80:7001/console/login/LoginForm.jsp

尝试弱口令登录，失败。尝试使用历史漏洞攻击，成功执行 CVE_2016_0638

直接注入一个内存马，这里注入的是冰蝎

CS 上线

关闭防火墙

netsh advfirewall set allprofiles state off

查看进程，确认有没有杀毒软件。

存在数字卫士，上传一个 CS 木马，尝试上线

上线成功，而且有管理员权限。

SYSTM 提权

既然现在有了管理员权限的 shell，那就先把数字卫士给他关了

失败，因为 OS 版本过低，尝试直接提权

提权成功了，那么其实这个数字卫士目前来说就没啥作用了，不用管它。

远程桌面连接

读取明文密码，结果如下

开启目标 3389 端口和远程桌面功能，尝试连接

域信息收集

查看 net view

查看域控

net group "domain controllers" /domain

查看域中其他主机

net group "domain computers" /domain

对当前网段进行主机发现，结果如下

获取 hash 和明文密码，结果如下

SMB 横向

尝试 SMB 横向

DC 上线

PC 上线失败

PC 主机渗透

在 CS 上尝试各种 SMB 横向无果；

在 CS 上利用插件扫描 MS17-010，成功，在将 CS 上线主机派生到 MSF 中，在 MSF 进行漏洞利用，失败，提示目标主机不是 64 位

使用 MS17-010 命令执行模块，直接失败

没头绪的时候，发现 PC 主机有外网 IP 192.168.111.201，而且开放了 3389 端口，利用目前收集的各种明文账户密码挨个测试，成功使用下面这条登录

登录后要求修改密码，修改后登录界面如下

等待数秒，登录成功！

关闭防火墙，关闭 360，上传木马，成功上线

这样靶场的三台主机就全部上线了！最终拓扑如下

黄金票据

我们获得了 krbtgt 用户的 Hash，可以制造黄金票据，原理就是 kerberos 协议的内容，自行了解，这里不做介绍

我们需要拿到两个东西

• krbtgt 用户的 Hash：82dfc71b72a11ef37d663047bc2088fb
• 域的 SID：S-1-5-21-2756371121-2868759905-3853650604-1001

我们现在在 Web 主机生成黄金票据

我们可以直接操作其他主机