一、環境搭建
靶場下載地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
- DC
IP:10.10.10.10
OS:Windows 2012
應用:AD域
- WEB(初始的狀態默認密碼無法登錄,切換用戶 de1ay/1qaz@WSX 登錄進去)
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
應用:Weblogic 10.3.6 MSSQL 2008
- PC
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7
- 攻擊機
IP:192.168.111.130
OS:Windows 10
IP:192.168.111.135
OS:Kali
內網網段:10.10.10.0/24
DMZ網段:192.168.111.0/24
先從WEB機開始,注意需要手動開啟服務,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一個 startWeblogic 的批處理,管理員身份運行它即可,管理員賬號密碼:Administrator/1qaz@WSX
WEB機和PC機:計算機右鍵->管理->配置->服務->Server、Workstation、Computer Browser 全部啟動(Computer Browser 一直自動關閉導致 net view 顯示 6118 error 沒能解決,在域信息收集時暫時關閉一下防火牆)
二、漏洞利用
2.1CVE-2019-2725
WEB機網站是 Weblogic 的容器,WebLogic Server 版本: 10.3.6.0
直接使用 WeblogicScan 掃描一下可能存在的漏洞,工具地址:https://github.com/rabbitmask/WeblogicScan
命令:python3 WeblogicScan.py 192.168.111.80 7001
可以發現控制台路徑是 http://192.168.111.80:7001/console/login/LoginForm.jsp,可能存在 CVE-2019-2725、CVE-2019-2729
工具掃出的用戶名密碼無法登錄后台,從 CVE-2019-2725 入手,反序列化漏洞是由 wls9-async 組件導致的,該組件默認開啟,看一下是否存在該漏洞。
訪問 http://192.168.111.80:7001/_async/AsyncResponseService
使用 java 反序列化終極測試工具測試漏洞,工具地址:https://kfire.net/220.html
2.2getshell
上傳冰蠍馬,關於選擇 webshell 上傳路徑問題,參考 https://www.cnblogs.com/sstfy/p/10350915.html
上傳路徑為:C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
冰蠍連接 http://192.168.111.80:7001/uddiexplorer/shell.jsp
這里再記錄幾個 weblogic 上傳 webshell 路徑:
1.image 目錄 C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
shell 訪問 http://xxxx/console/framework/skins/wlsconsole/images/shell.jsp
2.安裝目錄 C:\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\項目名\隨機字符\war\shell.jsp
shell 訪問 http://xxxx/項目名/shell.jsp
3.uddiexplorer 目錄 C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\隨機字符\war\shell.jsp
shell 訪問 http://xxxx/uddiexplorer/shell.jsp
2.3cs木馬
冰蠍右鍵上傳 cs 木馬並執行,WEB機成功上線。
三、內網滲透
3.1憑據存儲
dump 密碼
3.2提權
右鍵->Access->Elevate->ms14-058 提到 system 權限
3.3域信息收集
ipconfig /all,發現機器有雙網卡,內網 10.10.10.1/24 網段,域控 ip 10.10.10.10
查詢域名
查詢域內主機
查詢域內用戶
查詢域控為DC
查詢域管理員
3.4psexec傳遞
psexec 是微軟 pstools 工具包中最常用的一個工具,也是在內網滲透中的免殺滲透利器。psexec 能夠在命令行下在對方沒有開啟 telnet 服務的時候返回一個半交互的命令行,像 telnet 客戶端一樣。原理是基於IPC共享,所以要目標打開 445 端口。另外在啟動這個 psexec 建立連接之后對方機器上會被安裝一個服務。
利用 psexec 橫向移動至DC,域控成功上線。
四、權限維持
4.1域控信息收集
在域控獲得KRBTGT賬戶NTLM密碼哈希和SID
4.2黃金票據利用
黃金票據是偽造票據授予票據(TGT),也被稱為認證票據。TGT僅用於向域控制器上的密鑰分配中心(KDC)證明用戶已被其他域控制器認證。
黃金票據的條件要求:
1.域名稱
2.域的SID值
3.域的KRBTGT賬戶NTLM密碼哈希
4.偽造用戶名
原理這篇 https://www.freesion.com/article/6833306427/ 博客講的很詳細。
黃金票據可以在擁有普通域用戶權限和KRBTGT賬號的哈希的情況下用來獲取域管理員權限,上面已經獲得域控的 system 權限了,還可以使用黃金票據做權限維持,當域控權限掉后,在通過域內其他任意機器偽造票據重新獲取最高權限。
WEB機 Administrator 權限機器->右鍵->Access->Golden Ticket
五、總結
這篇主要是想熟悉 cs 操作,了解一些域滲透的流程。靶機還有很多可以利用學習的點,先忙完這陣期末,哪天再翻出來探索一下。萌新還在摸索中,如果有錯誤,歡迎師傅們批評指正。
參考:
http://www.heetian.com/info/656
https://www.geekby.xyz/2020/04/18/vulnstack-att-ck-2-ba-chang/
https://my.oschina.net/u/4349795/blog/3220366/print
http://www.safe6.cn/article/192