一、环境搭建:
1、根据作者公开的靶机信息整理:
靶场统一登录密码:1qaz@WSX
 
 
2、网络环境配置:
①Win2008双网卡模拟内外网:
外网:192.168.1.80,桥接模式与物理机相通
内网:10.10.10.80,仅主机模式

②PC-win7只有内网:
内网:10.10.10.201,仅主机模式

③win2012-DC只有内网:
内网:10.10.10.10,仅主机模式

启动web服务:
运行C:\Oracle\Middleware\user_projects\domains\base_domain下的bat文件(注意这里要右键以管理员身份运行):

然后访问7001端口+console让其自动部署即可启动好环境
启动完成结果:

二、web层渗透:
1、信息收集:
①利用nmap扫描web服务器端口以及开放的服务
nmap -sS -T4 192.168.1.80
根据端口信息,整理渗透思路:
445和3389端口可以用17010或0708打一波,7001端口weblogic反序列化漏洞getshell
 
2、Getshell:
②weblogic反序列getshell
既然存在7001weblogic,直接利用exp打一波,可以看到是检测出有2019-2725反序列化漏洞

执行命令:

直接上传冰蝎shell:

根据返回的webshell地址,使用冰蝎进行连接:

二、内网渗透:
1、派生cs和msf会话:
①利用冰蝎反弹msf会话
 
 
配置监听即可获取到会话:

②cs上线:
首先尝试msf派生给cs但是失败了,所以就利用cs生成payload,上传到目标并执行
 
 
成功上线:

③提权beacon
直接使用ms15-051提权

提权成功会返回一个system权限的beacon

2、内网信息收集:
①查看网卡信息
发现存在域de1ay.com,DNS服务器地址为10.10.10.10(一般为域控)

②获取域内信息
用户信息:
 
域内机器信息:
 
域管信息:
 
域控信息:

③Dump hashes
在web服务器机器上抓取到两个账号的明文和hash,并且权限都挺高的…

3、横向移动:
①系统漏洞尝试
首先添加10.10.10.0网段的路由

然后利用ms17-010尝试一波,存在漏洞,但是拿不下shell,0708也是同样的问题,遂放弃此方法
 
 
②pass the hash --> PC
利用cs特殊的smb beacon(十分好用)进行pth攻击:选择一个凭证,监听器选择smb的,并且用一个能访问目标主机的beacon发起攻击

攻击完成,成功拿下pc主机10.10.10.201的beacon:
 
然后继续dump hash,又成功获取到mssql用户的明文和hash:

 
②pass the hash --> DC
利用以上同样的方法pth到域控
 
域控beacon成功上线:

然后直接dump域内所有hash:
 
 
4、另类提权方法-ms14-068:
①利用Neo-reGeorg搭建socks5代理
将脚本上传到与webshell同目录下

python neoreg.py -k cmd -u http://192.168.1.80:7001//_async/tunnel.jsp -p 1080
然后代理工具配置127.0.0.1:1080即可
 
②获取域用户sid
通过进程注入,降权一个mssql域用户的beacon回来:
 
然后执行命令获取域用户的sid:

③pykey获取票据(使用proxychains代理进目标内网)
proxychains python ms14-068.py -u mssql@de1ay.com -s <SID> -p <密码> -d <域控ip>
 
利用KrbCredExport.py转换票据格式:
python2 KrbCredExport.py TGT_mssql@de1ay.com.ccache mssql.ticket

④使用cs进行票据注入
 
注入成功就可以使用dir等命令操作域控了
 
三、总结:
①通过信息收集发现7001,利用反序列化直接getshell
②利用冰蝎反弹msf会话,并添加路由扫描内网尝试进行横向移动
③pth与cs的smb beacon的横向利用
④Neo-reGeorg搭建socks5代理
⑤ms14-068的域内提权利用
 

vulstack红队评估(二)的更多相关文章

  1. vulstack红队评估(五)

    一.环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: Win7: heart 123.com    #本地管理员用户 sun\Administrator dc123.com    #域管用户,改 ...

  2. vulstack红队评估(四)

    一.环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu   win7: douser:Dotest123   Win2008 DC: administr ...

  3. vulstack红队评估(三)

    一.环境搭建: ①根据作者公开的靶机信息整理 没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件   ②虚拟机网卡设置 centos双网卡模拟内外网: 外网:192.168 ...

  4. vulstack红队评估(一)

    一.环境搭建: 1.根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019   因为登陆前要修改密码,改为了panda666...   2.虚拟网卡网络配置: ①Win7双 ...

  5. ATK&CK红队评估实战靶场 (一)的搭建和模拟攻击过程全过程

    介绍及环境搭建 靶机地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练 ...

  6. 【红日安全-VulnStack】ATT&CK实战系列——红队实战(二)

    一.环境搭建 1.1 靶场下载 靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 靶机通用密码:  1qaz@WSX 1.2 环境配置 ...

  7. ATT&CK红队评估实战靶场(一)

    靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 攻击拓扑如下 0x01环境搭建 配置两卡,仅主机模式192.168.52.0网段模拟内 ...

  8. Red Team 指南-第1章 红队和红队概述

    第1章 红队和红队概述 贡献者:Tony Kelly @infosectdk # 翻译者 BugMan 什么是红队?它来自哪里? 红队的起源是军事起源.人们意识到,为了更好地防御, 需要攻击自己的防御 ...

  9. HW弹药库之红队作战手册

    红方人员实战手册 声明 Author : By klion Date : 2020.2.15 寄语 : 愿 2020 后面的每一天都能一切安好 分享初衷 一来, 旨在为 "攻击" ...

随机推荐

  1. [杂谈-随口一说]Keep learning!

    随口一说 好些日子没有发表公号文章了, 想说,最近真是忙呢,有时候觉得真忙,有时候还觉得忙的脑子一团乱麻. 原计划的公众号文章将近一个月了一篇没写,时间,都去哪儿了? 周末自己搬家,工作中的任务,学习 ...

  2. 自定义cursor鼠标 图片

    1.CSS3自定义鼠标样式 最近想要使用自定义鼠标样式,看了cursor的样式不好看,就想到cursor属性能不能自定义图片,翻看了下CSS3文档,发现是可以的 格式为:cursor:url('图片u ...

  3. 八皇后问题求解java(回溯算法)

    八皇后问题 八皇后问题,是一个古老而著名的问题,是回溯算法的典型案例.该问题是国际西洋棋棋手马克斯·贝瑟尔于1848年提出:在8×8格的国际象棋上摆放八个皇后,使其不能互相攻击,即任意两个皇后都不能处 ...

  4. json工具--org.json.jar

    org.json可以解析json.把对象包装成json.API文档:http://resources.arcgis.com/en/help/arcobjects-java/api/arcobjects ...

  5. Chisel3 - Tutorial - Stack

    https://mp.weixin.qq.com/s/-AVJD1IfvNIJhmZM40DemA   实现后入先出(last in, first out)的栈.   参考链接: https://gi ...

  6. 【HIVE】(2)分区表、二级分区、动态分区、分桶、抽样

    分区表: 建表语句中添加:partitioned by (col1 string, col2 string) create table emp_pt(id int, name string, job ...

  7. JAVASE(八) 数组: 一维数组、二维数组、动态数组、静态数组

    个人博客网:https://wushaopei.github.io/    (你想要这里多有) 1.一维数组 1.1 数组的声明和初始化声明方式: String str[]; //不建议使用 Stri ...

  8. Java实现字符串转换成整数

    1 问题描述 输入一个由数字组成的字符串,请把它转换成整数并输出.例如,输入字符串"123",输出整数123. 请写出一个函数实现该功能,不能使用库函数. 2 解决方案 解答本问题 ...

  9. snowflake原理解析

    Snowflake 世界上没有两片完全相同的雪花. ​ - twitter Snowflake原理 这种方案把64-bit分别划分成多段,分开来标示机器.时间等,比如在snowflake中的64-bi ...

  10. POJ 2810:完美立方

    原题链接 总时间限制: 1000ms 内存限制: 65536kB 描述 形如\(a^{2}\)= \(b^{2}\) + \(c^{2}\) + \(d^{2}\)的等式被称为完美立方等式.例如123 ...