ATT&CK红队评估实战靶场二

img

环境配置

DC

  • ip:10.10.10.10
  • OS:win2012

WEB

  • ip1:10.10.10.80
  • ip2:192.168.252.206
  • OS:Windows7

PC

  • ip1:10.10.10.201
  • ip2:192.168.252.207
  • OS:win7

攻击机

  • ip:192.168.252.133
  • OS:Kali
  • IP:124.**.**.**
  • OS:win2016

接着我们在Web机器上,开启Weblogic,在 C:OracleMiddlewareuser_projectsdomainsbase_domainbin 下有一个 startWeblogic 的批处理,管理员身份运行它即可。

信息收集

首先我们对web机器进行信息收集

nmap -sT -sV -Pn --script=vuln 192.168.252.206
nmap -sS 192.168.252.206

我们发现其存在7001端口,可能是weblogic,我们使用weblogicscan对其进行漏洞扫描,执行命令如下

python3 WeblogicScan.py -u 192.168.252.206 -p 7001

经过扫描可以发现控制器的路径是http://192.168.252.206:7001/console/login/LoginForm.jsp,以及可能存在的漏洞CVE-2019-2725CVE-2019-2729

访问控制器界面,没有找到弱口令漏洞,接着我们继续测试CVE-2019-2725漏洞,反序列化漏洞是由 wls9-async 组件导致的,该组件默认开启,看一下是否存在该漏洞。访问 http://192.168.252.206:7001/_async/AsyncResponseService

接着我们使用漏洞检测工具进行检测

接着我们上传木马,这里我们使用冰蝎马,将其上传到该路径下

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
#上传目录解析
#https://www.cnblogs.com/sstfy/p/10350915.html

接着我们在冰蝎中连接

我们将CS生成的后门上传到目标机器之后,我们执行后门CS成功上线

内网渗透

接着我们查看目标机器的补丁情况

知道了补丁情况之后我们使用MS14-058进行提权,接着我们获取了一个system权限

接着我们查看域环境

shell net time /domain
或
ipconfig /all
或
shell net config workstation

我们可以看出存在两块网卡

执行其他命令的时候,发现命令执行错误,我们尝试切换到administrator用户再执行命令

首先我们查看administrator的密码

接着我们返回一个administrator的会话

查看域内主机

查看域内用户

查看域控

查询域管理员

探测内网主机的IP地址

横向移动

首先我们在WEB主机上设置端口转发

接着我们在目标栏目中尝试使用psexec模块

最后我们可以看到PC机器返回了shell,同样的我们可以获取DC的机器会话

权限维持

在域控中获得krbtgt账户NTML

接着我们获取域的SIDlogonpasswords

接着我们在WEB机器的administrator会话上进入黄金票据功能栏

最后修改:2022 年 02 月 16 日 05 : 21 PM