紅隊靶機實戰(2)
0x00 前言
[手動滑稽][手動滑稽] 一天一靶機 生活充實而有趣,打算這幾天把紅日的幾個靶機都給擼個遍。打起來還挺有意思。
0x01 環境搭建
至於網卡配置的話,可以直接看官方的講解怎麼去配,打靶機前要需要啟動web服務,來到server 08 機器 也就是web的機器裏面,進入目錄
C:\Oracle\Middleware\user_projects\domains\base_domain
裏面看到startWebLogic.bat腳本雙擊點開運行啟動weblogic服務
啟動後就可以開始下一步的滲透工作了,這裡來啟動時候要使用管理員的身份來啟動,否則啟動不了。
0x02 靶機滲透
192.168.111.0這個網卡是外網的,就直接對他進行掃描
nmap -Pn -sS -A 192.168.111.80
發現了7001端口開放,banner信息顯示是weblogic的服務,weblogic在歷史是爆出幾個命令執行漏洞的,先來嘗試一下存不存在命令執行漏洞,直接上weblogic scan來掃描
python3 WeblogicScan.py 192.168.111.80 7001
發現存在CVE-2019-2725,CVE-2017-3506
上github隨便找了個CVE-2019-272的exp 來使用
python3 weblogic-2019-2725.py 10.3.6 //192.168.111.80:7001/ whoami
命令執行成功,使用命令上傳webshell
python3 weblogic-2019-2725.py 10.3.6 //192.168.111.80:7001/
這個exp裏面自帶了一些webshell
這裡能執行命令成功 那麼為了方便就直接使用pwoershell遠程加載,無文件落地
成功上線,這裡360居然不攔截,可能是因為斷網的原因,那麼下一步就可以直接來到內網環節了
0x02 內網滲透
先來做波信息收集,這裡已經顯示了是個管理員的權限,先來查詢一下域用戶
shell “net user /domain”
發現拒絕訪問了 ,可能是因為權限是本地的管理員,而並不是域的管理員,這裡顯示拒絕訪問證明沒有權限,但是確實是在域環境裏面
使用mimikztz抓取密碼,然後進行重新的登錄,發現還是一樣的不行,域管理員無法查詢到任何信息,既然不行的話就使用其他用戶,查看進程的時候發現了有進程是以mssql的域用戶進行登錄的,對該進程進行進程注入
shell “net user /domain”
發現用這個用戶有權限去查詢,這點讓我非常匪夷所思,那麼就用這個賬號進行查詢
net user /domain
net group /domain
net group "Domain Admins " /domain
net group "Domain Controllers" /domain
net time /domain
ping 10.10.10.10
域控機器ip為 10.10.10.10
使用arp進行內網探測看看內網的機器
發現有3台機器
剛剛探測發現445端口都是開着的,直接用psexec smb之間的方式,來連接域控
這裡能成功上線 再來抓取一下密碼,然後再把pc拿下來
成功拿下
3台主機
0x03 結尾
這裡因為也沒看其他的能不能出網就使用了smb的直連過去,smb直連在內網滲透當中,是比較隱蔽的,也能很有效的去穿透防火牆,但是唯一的缺點就是如果父管道的機器掉了,其他的smb直連過去的機器也就掉了
