本文介绍了红队实战中的一系列靶场环境配置,包括Windows服务器、WebLogic管理及域控环境。通过扫描、漏洞利用、提权等手段,演示了对WebLogic服务器的攻击过程,并进一步渗透到内网,利用域控漏洞获取权限。重点涉及AccessToken、WMI、域漏洞利用等攻防技术,以及黄金票据的生成。文章提供了靶场环境的IP配置和渗透步骤,展示了内网渗透的完整流程。
相关环境配置
- WEB服务器:Windows server 2008 NAT模式+仅主机模式(需要以用户de1aly登录,本地登录时账户administrator没有密码,需要重新创建密码1qaz@WSX)
- WEB机的C:\Oracle\Middleware\user_projects\domains\base_domain\bin下有一个startWeblogic的批处理,管理员身份运行它即可,管理员账号密码:Administrator/1qaz@WSX
- WEB机和PC机:计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
Bypass UAC
Windows系统NTLM获取(理论知识:Windows认证)
Access Token利用(MSSQL利用)
WMI利用
网页代理,二层代理,特殊协议代理(DNS,ICMP)
域内信息收集
域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
域凭证收集
后门技术(黄金票据/白银票据/Sid History/MOF)
kali攻击机
IP:192.168.111.128
WEB机 双网卡
IP:192.168.111.80 IP:10.10.10.80
DC机 域控
IP:10.10.10.10
PC机 双网卡
IP:192.168.111.201 IP:10.10.10.201
指定网卡扫描内网,发现两台靶机。
详细扫描过后发现192.168.111.80开启了http,先访问看看。
好像没什么发现,访问了扫到的目录也没什么有价值的信息,在这台主机上还开放了7001端口,WebLogic的版本比较低,WebLogic有过很多历史漏洞,扫扫看。
果然发现了3个洞,使用漏洞利用工具达到命令执行。
这里不使用利用工具也是可以的,不过要下载exp,下载地址https://www.exploit-db.com/exploits/46780
直接在使用msf里的exp是拿不到shell的。
后渗透我个人还是喜欢cs
生成一段payload,在目标主机上执行。
来个内网渗透一整套,步骤太多就不都演示了,防火墙和杀软都关好了进行提权。
因为是靶机,就直接sleep 0了
提权成功后shell ipconfig/all发现内网ip 10.10,10,80
Ladon扫描内网
发现3台主机,根据dns服务器,猜测域控为10.10.10.10
扫描端口后发现域控开启了445端口,尝试用猕猴桃抓取到的密码登录配合psexec远程登录。
为了权限维持,做一个黄金票据
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
logonpasswords看sid值,hashdump看哈希
成功生成黄金票据
靶机下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
