0x00 前言
[手動滑稽][手動滑稽] 一天一靶機 生活充實而有趣,打算這幾天把紅日的幾個靶機都給擼個遍。打起來還挺有意思。
0x01 環境搭建
至於網路卡配置的話,可以直接看官方的講解怎麼去配,打靶機前要需要啟動web服務,來到server 08 機器 也就是web的機器裡面,進入目錄
C:\Oracle\Middleware\user_projects\domains\base_domain
裡面看到startWebLogic.bat指令碼雙擊點開執行啟動weblogic服務
啟動後就可以開始下一步的滲透工作了,這裡來啟動時候要使用管理員的身份來啟動,否則啟動不了。
0x02 靶機滲透
192.168.111.0這個網路卡是外網的,就直接對他進行掃描
nmap -Pn -sS -A 192.168.111.80
發現了7001埠開放,banner資訊顯示是weblogic的服務,weblogic在歷史是爆出幾個命令執行漏洞的,先來嘗試一下存不存在命令執行漏洞,直接上weblogic scan來掃描
python3 WeblogicScan.py 192.168.111.80 7001
發現存在CVE-2019-2725,CVE-2017-3506
上github隨便找了個CVE-2019-272的exp 來使用
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/ whoami
命令執行成功,使用命令上傳webshell
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/
這個exp裡面自帶了一些webshell
這裡能執行命令成功 那麼為了方便就直接使用pwoershell遠端載入,無檔案落地
成功上線,這裡360居然不攔截,可能是因為斷網的原因,那麼下一步就可以直接來到內網環節了
0x02 內網滲透
先來做波資訊收集,這裡已經顯示了是個管理員的許可權,先來查詢一下域使用者
shell "net user /domain"
發現拒絕訪問了 ,可能是因為許可權是本地的管理員,而並不是域的管理員,這裡顯示拒絕訪問證明沒有許可權,但是確實是在域環境裡面
使用mimikztz抓取密碼,然後進行重新的登入,發現還是一樣的不行,域管理員無法查詢到任何資訊,既然不行的話就使用其他使用者,檢視程式的時候發現了有程式是以mssql的域使用者進行登入的,對該程式進行程式注入
shell "net user /domain"
發現用這個使用者有許可權去查詢,這點讓我非常匪夷所思,那麼就用這個賬號進行查詢
net user /domain
net group /domain
net group "Domain Admins " /domain
net group "Domain Controllers" /domain
net time /domain
ping 10.10.10.10
域控機器ip為 10.10.10.10
使用arp進行內網探測看看內網的機器
發現有3臺機器
剛剛探測發現445埠都是開著的,直接用psexec smb之間的方式,來連線域控
這裡能成功上線 再來抓取一下密碼,然後再把pc拿下來
成功拿下
3臺主機
0x03 結尾
這裡因為也沒看其他的能不能出網就使用了smb的直連過去,smb直連在內網滲透當中,是比較隱蔽的,也能很有效的去穿透防火牆,但是唯一的缺點就是如果父管道的機器掉了,其他的smb直連過去的機器也就掉了
