红日靶场二

红日靶场二

环境搭建：

官方下载地址以及实验文档如下：

漏洞详情

跟靶场一中的环境类似需要模拟内网和外网两个网段， PC端虚拟机相当于网关服务器，所以需要两张网卡，一个用来向外网提供web服务，一个是通向内网。

PC配置如下：

web配置如下：

DC是域控：DC配置如下：

这里需要将新增的网卡VMnet2，ip调成了10段。

网络配置完成，这三台虚拟主机默认开机密码都是：密码1qaz@WSX
注意WEB的这台服务器，切换用户 de1ay，密码也是1qaz@WSX

这里我建议进去之后就直接就直接改掉PC和WEB的外网网段保证能连上网,修改网络需要输入管理员administrator/1qaz@WSX 建议直接自动获得ip

PC(域成员)：(内：10.10.10.201  / 外：192.168.239.138)
DC(域控)：(内：10.10.10.10)
WEB:（内：10.10.10.80/ 外：192.168.239.139）

开启服务

进入WEB中，来到C:OracleMiddlewareuser_projectsdomainsbase_domainbin 路径
使用管理员才能进去administrator/1qaz@WSX
以管理员权限执行startWebLogic

1. 漏洞利用

• 访问管理界面，弱口令、默认密码、快速爆破一波，无果，换点
• cve-2019-2725，百度，谷歌，github一波信息，反序列化利用工具到手
  利用反序列化工具打一波。
  验证漏洞
• 上传shell

• 
  需要知道weblogic路劲

1. 1. 方法1：把shell写到控制台images目录中
      OracleMiddlewarewlserver_10.3serverlibconsoleappwebappframeworkskinswlsconsoleimagesshell.jsp
      目录上传木马，访问
      ...:7001/console/framework/skins/wlsconsole/images/shell.jsp
   2. 方法2：写到uddiexplorer目录中
      OracleMiddlewareuser_projectsdomainsbase_domainserversAdminServertmp_WL_internaluddiexplorer随机字符warshell.jsp
      目录写入木马，访问
      ...:7001/uddiexplorer/shell.jsp
   3. 方法3：在应用安装目录中
      OracleMiddlewareuser_projectsdomainsapplicationserversAdminServertmp_WL_user项目名随机字符warshell.jsp
      目录写入木马，访问
      ...:7001/项目名/shell.jsp
      上传jsp冰蝎马
      2.png
      冰蝎连接
       

上传

cs生成的木马

运行上线

使用的是CS内置模块evelate中的ms14-058进行提权
该漏洞影响所有Windows x64，包括Windows 7 和 Windows Server 2008 R2 及以下版本。

信息收集

判断是否存在域

shell ipconfig /all ，DNS后缀de1ay，存在域

发现有双网卡，10.10.10.1/24和192.168.239.2网段，域控IP 10.10.10.10。

net user /domain #查询域内用户

net group "domain admins" /domain #查看域管理员用户

net group "domain controllers" /domain #查看域控：

net group "domain computers" /domain # 查看域中的其他主机名

分别ping一下DC和PC，可以解析出主机ip地址。

DC 10.10.10.10

PC 10.10.10.201

ping不太PC主机可能是因为被防火墙拦截了。

使用arp探测一下内网机器及端口

arp -a

目标主机所在的网络存在域环境，域名为de1ay，存在两台域主机WEB和PC，域控制器为DC.de1ay，主机名为DC，域管理员为Administrator。

横向移动

portscan 网段 端口 协议（icmp arp none）线程

portscan 10.10.10.0/24 445 arp 50

内网主机探活+端口扫描

portscan 10.10.10.0/24 1-1024,3389,5000-6000 arp 1024

内网主机探活+端口扫描

portscan 10.10.10.0/241-1024,3389,5000-6000 arp 1024

扫描发现域控开放445端口。可以尝试psexec横向移动。

获取密码

创建smb

对目标10.10.10.10(DC)进行横向移动

设置psexec

DC主机成功上线。

同理：对目标10.10.10.201(PC)进行横向移动。

用同样的方法却无法让PC主机上线。最后尝试了几边，使用了psexec_psh成功让PC上线了。具体原因暂时不清楚。