[内网渗透] vulstack红队评估(二)

简介: 根据作者公开的靶机信息整理:靶场统一登录密码:1qaz@WSX

一、环境搭建:

1、根据作者公开的靶机信息整理:

靶场统一登录密码:1qaz@WSX

 

 

2、网络环境配置:

①Win2008双网卡模拟内外网:

外网:192.168.1.80,桥接模式与物理机相通

内网:10.10.10.80,仅主机模式

 

②PC-win7只有内网:

内网:10.10.10.201,仅主机模式

 

③win2012-DC只有内网:

内网:10.10.10.10,仅主机模式

 

启动web服务:

运行C:\Oracle\Middleware\user_projects\domains\base_domain下的bat文件(注意这里要右键以管理员身份运行):

 

然后访问7001端口+console让其自动部署即可启动好环境

启动完成结果:

 

 

二、web层渗透:

1、信息收集:

①利用nmap扫描web服务器端口以及开放的服务


nmap -sS -T4 192.168.1.80

根据端口信息,整理渗透思路:

445和3389端口可以用17010或0708打一波,7001端口weblogic反序列化漏洞getshell

 

2、Getshell:

②weblogic反序列getshell

既然存在7001weblogic,直接利用exp打一波,可以看到是检测出有2019-2725反序列化漏洞

 

执行命令:

 

直接上传冰蝎shell:

 

 

根据返回的webshell地址,使用冰蝎进行连接:

 

 

二、内网渗透:

1、派生cs和msf会话:

①利用冰蝎反弹msf会话

 

 

配置监听即可获取到会话:

 

②cs上线:

首先尝试msf派生给cs但是失败了,所以就利用cs生成payload,上传到目标并执行

 

 

成功上线:

 

③提权beacon

直接使用ms15-051提权

 

 

提权成功会返回一个system权限的beacon

 

2、内网信息收集:

①查看网卡信息

发现存在域de1ay.com,DNS服务器地址为10.10.10.10(一般为域控)

 

②获取域内信息

用户信息:

 

域内机器信息:

 

域管信息:

 

域控信息:

 

③Dump hashes

在web服务器机器上抓取到两个账号的明文和hash,并且权限都挺高的…

 

3、横向移动:

①系统漏洞尝试

首先添加10.10.10.0网段的路由

 

然后利用ms17-010尝试一波,存在漏洞,但是拿不下shell,0708也是同样的问题,遂放弃此方法

 

 

②pass the hash --> PC

利用cs特殊的smb beacon(十分好用)进行pth攻击:选择一个凭证,监听器选择smb的,并且用一个能访问目标主机的beacon发起攻击

 

攻击完成,成功拿下pc主机10.10.10.201的beacon:

 

然后继续dump hash,又成功获取到mssql用户的明文和hash:

 

 

②pass the hash --> DC

利用以上同样的方法pth到域控

 

域控beacon成功上线:

 

 

然后直接dump域内所有hash:

 

 

4、另类提权方法-ms14-068:

①利用Neo-reGeorg搭建socks5代理

将脚本上传到与webshell同目录下

 


python neoreg.py -k cmd -u http://192.168.1.80:7001//_async/tunnel.jsp -p 1080

然后代理工具配置127.0.0.1:1080即可

 

②获取域用户sid

通过进程注入,降权一个mssql域用户的beacon回来:

 

然后执行命令获取域用户的sid:

 

③pykey获取票据(使用proxychains代理进目标内网)


proxychains python ms14-068.py -u mssql@de1ay.com -s <SID> -p <密码> -d <域控ip>

 

利用KrbCredExport.py转换票据格式:


python2 KrbCredExport.py TGT_mssql@de1ay.com.ccache mssql.ticket

 

④使用cs进行票据注入

 

注入成功就可以使用dir等命令操作域控了

 

三、总结:

①通过信息收集发现7001,利用反序列化直接getshell

②利用冰蝎反弹msf会话,并添加路由扫描内网尝试进行横向移动

③pth与cs的smb beacon的横向利用

④Neo-reGeorg搭建socks5代理

⑤ms14-068的域内提权利用


目录
相关文章
|
3月前
|
SQL 安全 网络协议
黑盒渗透测试:揭开未知的安全隐患
【8月更文挑战第31天】
120 0
|
5月前
|
安全 测试技术 网络安全
网络安全中的渗透测试与风险评估:技术深度解析
【7月更文挑战第3天】在网络安全领域,渗透测试和风险评估是两种不可或缺的技术手段。通过模拟黑客的攻击手段来发现系统中的安全漏洞,以及通过系统性的方法来识别和评估潜在的风险和威胁,两者共同为组织提供了全面的网络安全保障。随着技术的不断发展和网络环境的日益复杂,渗透测试和风险评估的重要性将日益凸显。因此,网络安全从业者应不断学习和掌握这两种技术,以应对日益严峻的网络安全挑战。
|
6月前
|
安全 网络安全 数据安全/隐私保护
关于双面恶魔攻击的定义、检测和预防的最佳实践
关于双面恶魔攻击的定义、检测和预防的最佳实践
|
安全 网络协议 网络安全
[ 内网渗透 ] vulstack红队评估(五)
根据作者公开的靶机信息整理
138 0
|
存储 安全 网络协议
[内网渗透]vulstack红队评估(一)
根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019 因为登陆前要修改密码,改为了panda666...
217 0
|
Ubuntu 安全 网络协议
vulstack红队评估(三)
一共是5台机器,目标是拿下域控获取flag文件
243 0
|
安全 Ubuntu Shell
vulstack红队评估(四)
根据作者公开的靶机信息整理
194 0
|
机器学习/深度学习 人工智能 算法
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
138 0
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用