红日靶场2
2025-08-04 00:00:00 # 内网

红日靶场2记录

环境说明

域控

10.10.10.10

域内PC

10.10.10.201

Web服务器

192.168.5.80

外网渗透

对ip进行扫描

image-20250509125629197

发现目标主机7001端口有WebLogic服务,访问该服务http://192.168.5.80:7001//console/login/LoginForm.jsp

image-20250509130921699

用Weblogic漏扫工具扫

image-20250509131042327

存在CVE_2017_10271_ECHO漏洞,利用该漏洞获取权限

image-20250509221642325

上线cs

image-20250512111258799

内网信息收集

网段信息收集 ipconfig /all

image-20250512110533378

看到域de1ay.com存在10.10.10.80/24网段,用net user /domain

image-20250512111445434

因为运行Weblogic的权限是Administrator,所以通过这里上线的cs也是管理员权限,为了获得域的信息,需要登录域账户进行收集。

这里可以考虑获取账号密码的方式

image-20250512112031486

然后用mssql用户上线

image-20250512112003104

image-20250512112214001

然后就收集域内信息:域管理员用户、域内主机、域控

域管理员用户net group "domain admins" /domain

image-20250512112511309

域内主机net group "domain computers" /domain

image-20250512113003647

域控net group "domain controllers" /domain

image-20250512113055487

这里也可以用cs上的插件直接获取信息

image-20250512113225241

得到域内信息以后,定位域控

image-20250512113345218

然后对内网进行扫描,📌📌📌(做个标记,最后再讨论)

image-20250512184243875

横向移动

对内网10.10.10.0/24进行端口探测

1
portscan 10.10.10.0/24

结果中关键信息,开放了445端口,可以利用SMB服务可以通过明文或hash传递来远程执行

image-20250804215826248

下一步就是获取密码,在system权限上的会话中用mimikatz

image-20250804220801813

在目标列表中对DC进行横向移动

image-20250804220841117

先建立一个SMB的监听器

image-20250804220918249

然后用域用户的session进行横移,当然如果用system权限横移结果也是system权限

image-20250804221023789

这里在web机器上用system探测内网的ip,找PC

image-20250804223935474

同样对PC进行SMB横移

image-20250804224237865

这样就都完成了

image-20250804224640411

总结

这个靶场当中利用了SMB服务进行横移,利用的条件就是目标开放了SMB服务,并且已经获取到了用户名和密码,利用工具有:

  1. psexec

    1
    PsExec64.exe \\192.168.52.136 -u <username> -p <password> -s cmd

  2. smbexec

    1
    python smbexec.py ./:@192.168.52.136
上一页
2025-08-04 00:00:00 # 内网
下一页