一、環境配置
-
web靶機有一塊NAT網路卡,只需要修改這塊NAT網路卡的閘道器,IP改成與攻擊機器同網段就可以了
-
到web靶機中C:/Oracle/Middleware/user_projects/domains/base_domain/bin目錄下以管理員許可權點選weblogic啟動指令碼開啟weblogic服務,管理員口令是administrator/1qaz@WSX
-
關閉防火牆
二、資訊收集
-
-
nmap掃描一下這兩個IP,如下圖,兩臺主機均開放有135、139、445、3389、49152、49153、49154、49155埠,192.168.10.136主機還開放有80埠存在web服務、開放7001埠存在weblogic服務,weblogic版本為10.3.6.0
-
先使用fscan掃描一下這些埠,如下,fscan掃描出兩個IP都疑似存在ms17-010,192.168.10.137的RDP口令為administrator/1qaz@WSX
-
使用goby掃描結果如下,同樣掃描出兩臺主機都有ms17-010,但192.168.10.136的weblogic掃出大量高危漏洞
-
訪問一下192.168.10.136的80埠,發現頁面是空的,再訪問一下7001埠的weblogic,介面如下
三、getshell
-
使用weblogic利用工具上傳一個jsp冰蠍馬,先利用rce獲取系統資訊,如下
-
利用該工具的檔案上傳功能直接將冰蠍的jsp馬上傳到web主機的C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\目錄下,然後冰蠍訪問http://IP:7001/console/framework/skins/wlsconsole/images/shell.jsp,成功連線
-
反彈shell到msf,檢視ipconfig/all,發現存在兩個網路卡
四、許可權提升
-
得想辦法提升許可權,先啟用一下guest
-
啟用成功,但是guest無權連線3389遠端桌面,使用de1ay\administrator使用者登入遠端桌面,提示必須修改密碼,修改成de1ayAdmin.,修改成功後即可進入遠端桌面,發現開啟了360,直接將360退出
-
啟動cobalt strike,生成一個木馬,透過冰蠍的檔案管理上傳到web主機上,此時我們再透過遠端桌面的管理員許可權啟動cs的木馬就不會被攔截和查殺了,web主機成功上線cs獲取到administrator許可權
五、內網滲透
(一)內網資訊收集
-
檢視域資訊,如下,域為delay.com
-
cs中執行域命令總是報錯,到遠端桌面中透過cmd執行命令,判斷主域
net time /domain
-
檢視域控,域控IP為10.10.10.10
net dclist
-
透過巨龍拉東外掛獲取域資訊時發現域內另一臺主機PC,IP:192.168.10.137、10.10.10.201
-
抓一下密碼
logonpasswords
(二)橫向移動
-
cs新建一個監聽,然後點選檢視——>目標
-
點選Launch,等待一會後並沒有上線,但檢視過程應該是會話傳遞成功了的,估計是域控不出網無法形成反向shell
-
掃描一下域控主機,發現開放有445、3389,既然域控不出網,可以考慮利用smb
-
新建一個smb監聽
-
利用smb監聽再次嘗試會話傳遞
-
成功上線,拿下域控許可權
