[VulnStack] ATT&CK实战系列—红队实战（二）

---

0x00 环境搭建

靶机环境是红日团队开源的一个红队实战测试环境，靶机下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码：1qaz@WSX

配置网卡，仅主机模式192.168.10.0网段模拟内网，192.168.43.0网段模拟外网：

Web服务器：windows 2008R2

外网网卡IP（桥接）：192.168.43.6
内网网卡IP（仅主机）：192.168.10.110

DC：windows 2012

内网网卡IP（仅主机）：192.168.10.133

PC：windows 7

外网网卡IP（桥接）：192.168.43.160
内网网卡IP（仅主机）：192.168.10.138

拓扑如下：

---

0x01 信息收集

端口探测

拿到站点之后，先找到其真实ip地址（这里直接有了），探测其端口：

发现开启了80端口（http服务）、445端口（SMB服务）、1433端口（MSSQL）、3306端口（mysql服务）、7001端口（weblogic）。

目录扫描

访问80端口，一片空白：

访问7001端口是weblogic服务，试了试默认密码没有成功：

扫目录也没得到什么有价值的东西：


因为是weblogic的站，直接上工具，项目地址：https://github.com/rabbitmask/WeblogicScan

发现两个路径和一个JAVA反序列化（CVE-2019-2725）：

---

0x02 漏洞利用

利用CVE-2019-2725反序列化漏洞，漏洞是由wls9-async组件导致的，该组件默认开启，访问http://192.168.43.6:7001/_async/AsyncResponseService看一下是否存在该漏洞：

直接上工具验证一下：

上传webshell，上传路径参考：https://www.cnblogs.com/sstfy/p/10350915.html

冰蝎连接：

上传大马上线CS，发现无法执行：

上帝视角查看是被360拦截了：

没有权限关闭360进程（后来查到通过cmd是无法关闭360的），做了个静态免杀马，还是会被动态查杀，需要搞动态免杀，添加用户也会被360拦截，冰蝎反弹的shell好多命令又不能执行：

直接放弃了，在服务器放行了大马上线CS，用ms15-05提权：

---

0x03 内网收集

主机信息搜集

1. 查看当前权限、账号信息：
	whoami /all 
2. 查看网络配置信息：
	ipconfig /all 
3. 查询操作系统及安装软件的版本信息：
	systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
5. 查询本机服务信息：
	wmic service list brief
6．查看计划任务:
	schtasks /query /fo LIST /v
7．查看主机开机时间:
	net statistics workstation
8．查询用户列表、获取本地管理员信息、查看当前在线用户:
	net user 
	net localgroup administrators
	query user || qwinsta 
9．列出或断开本地计算机和连接的客户端的会话:
	net session
10．查询端口列表:
	netstat -ano
11．查询补丁列表:
	systeminfo
	wmic qfe get Caption,Description,HotFixID,InstalledOn 
12．查询本机共享:
	net share
	wmic share get name,path,status 
13．查询路由表及所有可用接口的 ARP 缓存表
	route print
	Arp –A
14．查询防火墙相关配置:
	netsh firewall show config
15．查看计算机代理配置情况:
	reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
16．查询远程连接服务:
	REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

查看网卡信息，发现内网ip：

域信息收集

查看是否有域，以及当前域：net config workstation

查询域内用户： net user /domain

查看域管理员用户：net group "domain admins" /domain

查看域控：net group "domain controllers" /domain
hashdump看一下密码：

再用mimikatz抓一下密码，得到当前用户登录密码为1qaz@WSX：

之前的信息收集到3389开放，之后就可以远程登录了。

内网漏洞扫描

查看内网主机，由于Computer Browser服务禁用，无法使用net view命令，这里使用arp -a查看：

查看192.168.10.133主机端口开放情况，并发现是DC主机：

扫不到192.168.10.138主机，应该是被防火墙拦截了：

socks代理使用nmap扫描445端口，发现两台主机均存在ms17-010漏洞：

---

0x04 横向渗透

MS17-010

利用漏洞渗透138主机，均利用失败：

ms17-010-command模块也无法执行命令：

打130主机一样失败，直接蓝屏。

PsExec传递

使用现在这台主机中转一个监听器，利用psexec横向移动至DC：

域控成功上线：


用arp端口扫描，成功发现PC主机：

用同样的方法却无法让PC主机上线，查网上说的可能是防火墙的原因：

远程登录

使用代理远程登录上传木马并关闭防火墙：

运行木马，PC主机成功上线：

至此所有主机均已经上线，最终的枢纽图：

---

0x05 权限维持

域控信息收集

获取kebtgt账户的NTLM值：

然后用用mimikatz找到一个合法的sid：

黄金票据

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限，上面已经获得域控的 system 权限了，还可以使用黄金票据做权限维持，当域控权限掉后，再通过域内其他任意机器伪造票据重新获取最高权限。

---

0x06 痕迹清理

1. 有远程桌面权限时手动删除日志：
   开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

2. wevtutil：
   wevtutil el 列出系统中所有日志名称
   wevtutil cl system 清理系统日志
   wevtutil cl application 清理应用程序日志
   wevtutil cl security 清理安全日志

3. meterperter自带清除日志功能：
   clearev 清除windows中的应用程序日志、系统日志、安全日志

4. 清除recent：
   在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
   或直接打开C:\Users\Administrator\Recent并删除所有内容
   或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

总结

整体流程如下：
信息收集 => weblogic漏洞利用 => 冰蝎连接上传大马 =>WEB主机上线CS => 内网信息收集 => MS17_010利用 => PTH => DC主机上线 => 挂代理3389登录PC主机 => 上传木马 => PC主机上线 => 构造黄金票据维权 => 痕迹清理

搭建靶机用了很长时间，一开始web主机密码错误，需要切换用户登录，之后的weblogic启动报错，摸索了半天终于启动了，之后的大马又被360拦截，需要搞动态免杀。通过靶场进一步熟悉了CS的操作和域渗透的基本流程。

---

参考链接
https://www.cnblogs.com/sstfy/p/10350915.html（weblogic上传木马路径选择）
https://blog.csdn.net/weixin_42918771/article/details/116205764（ATT&CK实战系列—红队实战-2）
https://www.cnblogs.com/wkzb/p/12826618.html（ATT&CK实战系列——红队实战（二））