ATT&CK红队评估(红日靶场2)CS篇

随笔1个月前发布 励志前行
31 0 0

靶机介绍

  红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX

Bypass UAC
Windows系统NTLM获取(理论知识:Windows认证)
Access Token利用(MSSQL利用)
WMI利用
网页代理,二层代理,特殊协议代理(DNS,ICMP)
域内信息收集
域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
域凭证收集
后门技术(黄金票据/白银票据/Sid History/MOF)

环境搭建

  网络拓扑:

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  ​​

环境说明
内网网段:10.10.10.1/24
DMZ网段:192.168.111.1/24
防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):

deny all tcp ports:10.10.10.1
allow all tcp ports:10.10.10.0/24

  web主机登录使用de1ay用户登录密码是1qaz@WSX,如果需要管理登录的操作就使用这个账户:administrator/1qaz@WSX

  DC

  IP:10.10.10.10

  OS:Windows 2012(64)

  应用:AD域

ATT&CK红队评估(红日靶场2)CS篇

  ‍

  WEB

  IP1:10.10.10.80

  IP2:192.168.111.80

  OS:Windows 2008(64)

  应用:Weblogic 10.3.6MSSQL 2008

  注意:在登录时,点击其它用户登录,使用de1ay用户登录密码是1qaz@WSX ,如果要登录管理员账号,用户名是DE1AYAdministrator 1qaz@WSX

ATT&CK红队评估(红日靶场2)CS篇

  开启weblogic:C:OracleMiddlewareuser_projectsdomainsase_domain
右键使用管理员才能进去administrator/1qaz@WSX

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  查看端口开启情况:

ATT&CK红队评估(红日靶场2)CS篇

  PC

  IP1:10.10.10.201

  IP2:192.168.111.201

  OS:Windows 7(32)

  如果出现下图所示,登录账号:administrator 密码为:1qaz@WSX

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  攻击机

  IP:192.168.111.1 OS:Windows 10(64)

  IP:192.168.111.11 OS:Parrot(64)

Web打点

信息收集

  端口扫描

nmap -sS -sV -Pn 192.168.111.80

ATT&CK红队评估(红日靶场2)CS篇

  网站端口:80、7001(weblogic)

  数据库端口:3306

  ‍

  再扫描一下80端口的目录:

  没什么有价值的东西

ATT&CK红队评估(红日靶场2)CS篇

  接着去访问了80端口和7001端口,没有收获。

  使用Goby漏扫:

ATT&CK红队评估(红日靶场2)CS篇

  扫出来很多漏洞。

weblogic漏洞利用

  扫描出多个漏洞,再接着使用weblogic利用工具来探测一下:

ATT&CK红队评估(红日靶场2)CS篇

  命令执行成功:

ATT&CK红队评估(红日靶场2)CS篇

  注入内存马,然后用蚁剑连接,主要因为这个工具使用起来不是很方便,而且shell不是很稳定,因为目标主机有某数字安全卫士:

ATT&CK红队评估(红日靶场2)CS篇

  蚁剑根据设置连接就行

ATT&CK红队评估(红日靶场2)CS篇

  成功连接:

ATT&CK红队评估(红日靶场2)CS篇

  查看一下进程,发现对方安装了360:

shell tasklist /svc

ATT&CK红队评估(红日靶场2)CS篇

  必须要关闭这个杀软

干掉杀软

  有下面几步:

  一、 3389上去直接关闭,需要创建管理员用户(因为3306端口是开放的)
二、 提权到system关闭
三、 对c2做免杀
创建用户:

net user itchen 1safddsa@ /add
net localgroup Administrators itchen /add

ATT&CK红队评估(红日靶场2)CS篇

  登录成功,直接卸载某数字:

ATT&CK红队评估(红日靶场2)CS篇

  ‍

  还可以直接重置administrator用户的密码

net user Administrator test@WSX

  博主就不测试了,应该是可以的

  ‍

内网渗透

信息收集

  上传cs木马,执行:

ATT&CK红队评估(红日靶场2)CS篇

  成功上线:

ATT&CK红队评估(红日靶场2)CS篇

  CS提权:

ATT&CK红队评估(红日靶场2)CS篇

  选择ms14-058成功提权

  关闭防火墙:

shell netsh advfirewall show all state  		  //查看防火墙状态
shell netsh advfirewall set allprofile state off  //关闭防火墙

ATT&CK红队评估(红日靶场2)CS篇

  关闭防火墙成功。

  ‍

  ‍

  ‍

是否存在域
shell net config Workstation

ATT&CK红队评估(红日靶场2)CS篇

  存在域环境

查看有几个域环境
shell net view /domain

ATT&CK红队评估(红日靶场2)CS篇

  报错了,也不知道什么情况,也懒得管了

查看域控
shell net group "domain controllers" /domain

ATT&CK红队评估(红日靶场2)CS篇

  域控:DC

查看域内其他主机名
net group "domain computers" /domain

ATT&CK红队评估(红日靶场2)CS篇

其他2台机器:PC 、WEB
查看域内主机
net view

ATT&CK红队评估(红日靶场2)CS篇

  不知道什么情况,扫不出来,服了。。。

  使用CS自带的arp扫描:

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  成功把其他2台主机扫描出来了:

ATT&CK红队评估(红日靶场2)CS篇

查看域内所有用户
shell net user /domain

ATT&CK红队评估(红日靶场2)CS篇

  ‍

  查看域管理员列表:

shell net group "domain admins" /domain 

ATT&CK红队评估(红日靶场2)CS篇

抓取明文密码

  拿到system权限之后,右键抓取明文密码:

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  ‍

端口扫描

  直接用CS的端口扫描:

ATT&CK红队评估(红日靶场2)CS篇

  总结:

10-DC:  135,139,88,53,3389,445
201-PC: 135,139,3389,445

横向渗透

  ‍

psexec横向

  通过信息收集,发现DC和PC主机的445端口都是开放的,可以使用psexec横向。

  创建smb监听器:

ATT&CK红队评估(红日靶场2)CS篇

  可以直接在CS输入命令:

rev2self
make_token de1ay.comAdministrator 1qaz@WSX
jump psexec PC smb

  也可以选中目标,右键psexec:

ATT&CK红队评估(红日靶场2)CS篇

  成功上线,拿下域控:

ATT&CK红队评估(红日靶场2)CS篇

  同样的方法,拿下PC机:

ATT&CK红队评估(红日靶场2)CS篇

  至此3台主机已经全部拿下:

ATT&CK红队评估(红日靶场2)CS篇

  域控和PC好像都装了某数字安全卫士,拿到权限后可以去卸载,按照上面的方法去尝试,远程桌面什么的。博主就不演示了。

  ‍

权限维持

黄金票据

  从DC中hashdump​出krbtgt​的hash值,krbtgt​用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

ATT&CK红队评估(红日靶场2)CS篇

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::

  ​在DC查看域的sid​:

ATT&CK红队评估(红日靶场2)CS篇

S-1-5-21-2756371121-2868759905-3853650604-1001

  生成黄金票据:

  在WEB主机​上选中右键生成黄金票据

ATT&CK红队评估(红日靶场2)CS篇

  直接远程连接dir域控c盘成功:

shell dir \10.10.10.10c$

  ‍

ATT&CK红队评估(红日靶场2)CS篇

  ‍

白银票据

  类似低等一点的白银票据,也是要获取sid和 hash值

ATT&CK红队评估(红日靶场2)CS篇

  ‍

S-1-5-21-2756371121-2868759905-3853650604-1001
161cff084477fe596a5db81874498a24

  cs中填入:

ATT&CK红队评估(红日靶场2)CS篇

  票据生成成功:

ATT&CK红队评估(红日靶场2)CS篇

ATT&CK红队评估(红日靶场2)CS篇

  黄金票据和白银票据最后都是这一步,访问域控的c盘

shell dir \10.10.10.10c$

ATT&CK红队评估(红日靶场2)CS篇

痕迹清理

  主要清理weblogic的日志, 用户等创建可以使用隐藏方式创建,痕迹清理也就是原路返回,看看你都做了什么操作。

  1.有远程桌面权限时手动删除日志:

  开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

  2.wevtutil:

  wevtutil el 列出系统中所有日志名称

  wevtutil cl system 清理系统日志

  wevtutil cl application 清理应用程序日志

  wevtutil cl security 清理安全日志

  3.meterperter自带清除日志功能:

  clearev 清除windows中的应用程序日志、系统日志、安全日志

  4.清除recent:

  在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮或直接打开C:UsersAdministratorRecent并删除所有内容或在命令行中输入del /f /s /q “%userprofile%Recent .

总结

weblogic漏洞利用
如何关闭杀软-远程登录直接卸载等等
psexec横向
黄金票据和白银票据

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...