Vulnstack 红队评估(二)

主页,完结,pentest 2020-07-15

0x00 : 简介

Vulnstack 红队评估(二)

红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

靶场资源


0x01 : 环境

  • 主机信息

WEB ~ Win2008双网卡

外网:192.168.153.134, 我用的NAT与本机相连, 具体IP自己确定
内网:10.10.10.80, 与10.10.10.201不互通

PC ~ Win7

内网:10.10.10.201, 与10.10.10.80不互通

DC ~ Win2012

内网:10.10.10.10

密码均为1qaz@WSX


  • 启动WEB服务 ~ WEB主机

    管理员运行C:\Oracle\Middleware\user_projects\domains\base_domain\startWebLogic.bat


0x02 : 外网入口

  • 信息收集
利用nmap扫描WEB开放端口及服务
nmap -F 192.168.153.134

nmap.png


  • 7001端口渗透
访问
http://192.168.153.134:7001/_async/
http://192.168.153.134:7001/_async/AsyncResponseService
判断可能存在反序列化漏洞

使用反序列化利用工具上传webshell

weblogic-1.png

weblogic-2.png

访问webshell存在, 使用冰蝎连接

weblogic-3.png

weblogic-4.png


0x03 : 内网渗透


  • 主机信息收集

双网卡

内网主机信息收集-1.png

定位域控IP

内网主机信息收集-2.png


  • 内网渗透

上传文件, cs上线

内网渗透-1.png

利用ms14-058提权到system权限

内网渗透-2.png

内网渗透-3.png

内网信息收集

内网渗透-4.png

抓hash, 发现抓到域控密码

内网渗透-5.png


  • 打域控

票据传递攻击

打域控-1.png

拿到域控

打域控-2.png

域控抓hash

打域控-3.png

顺便打一下PC

打域控-4.png


0x04 : 其他操作(给自己mark一下)

  • 代理
NPS
服务器端搭建步骤这里就不详细描述了

首先建立一个客户端, 输入用户名, 密码以及密钥

代理-1.png

返回客户端页面, 注意这里的ID

代理-2.png

新增socks代理, 这里的ID与客户端ID保持一致, 端口填写连接的端口即可

代理-3.png

然后去github根据内网主机版本下载client,这里下载的client版本最好跟服务器端保持一致

这里我的版本为0.26.6, https://github.com/ehang-io/nps/releases/tag/v0.26.6, 根据主机版本为windows 32位,所以下载32位的client包

代理-4.png

解压之后, 将npc文件上传到内网主机上执行, 这里直接在客户端页面点击加号即有执行命令, win端记得加.exe

代理-5.png

然后打开proxifier, 添加代理服务器, 即可通内网啦!

代理-6.png


  • MSF

利用冰蝎回弹session

msf-1.png

添加路由, 两种方式

msf-2.png

msf-4.png

扫描域控ms17-010, 要扫网段设置10.10.10.0/24

msf-3.png

这里ms17-010没打成功, 但是我们可以直接连接shell

msf-5.png


到此本靶场结束


本文由 saltyfishyu 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论