一、環境搭建:
1、根據作者公開的靶機信息整理:
靶場統一登錄密碼:1qaz@WSX
2、網絡環境配置:
①Win2008雙網卡模擬內外網:
外網:192.168.1.80,橋接模式與物理機相通
內網:10.10.10.80,僅主機模式
②PC-win7只有內網:
內網:10.10.10.201,僅主機模式
③win2012-DC只有內網:
內網:10.10.10.10,僅主機模式
啟動web服務:
運行C:\Oracle\Middleware\user_projects\domains\base_domain下的bat文件(注意這里要右鍵以管理員身份運行):
然后訪問7001端口+console讓其自動部署即可啟動好環境
啟動完成結果:
二、web層滲透:
1、信息收集:
①利用nmap掃描web服務器端口以及開放的服務
nmap -sS -T4 192.168.1.80
根據端口信息,整理滲透思路:
445和3389端口可以用17010或0708打一波,7001端口weblogic反序列化漏洞getshell
2、Getshell:
②weblogic反序列getshell
既然存在7001weblogic,直接利用exp打一波,可以看到是檢測出有2019-2725反序列化漏洞
執行命令:
直接上傳冰蠍shell:
根據返回的webshell地址,使用冰蠍進行連接:
二、內網滲透:
1、派生cs和msf會話:
①利用冰蠍反彈msf會話
配置監聽即可獲取到會話:
②cs上線:
首先嘗試msf派生給cs但是失敗了,所以就利用cs生成payload,上傳到目標並執行
成功上線:
③提權beacon
直接使用ms15-051提權
提權成功會返回一個system權限的beacon
2、內網信息收集:
①查看網卡信息
發現存在域de1ay.com,DNS服務器地址為10.10.10.10(一般為域控)
②獲取域內信息
用戶信息:
域內機器信息:
域管信息:
域控信息:
③Dump hashes
在web服務器機器上抓取到兩個賬號的明文和hash,並且權限都挺高的…
3、橫向移動:
①系統漏洞嘗試
首先添加10.10.10.0網段的路由
然后利用ms17-010嘗試一波,存在漏洞,但是拿不下shell,0708也是同樣的問題,遂放棄此方法
②pass the hash --> PC
利用cs特殊的smb beacon(十分好用)進行pth攻擊:選擇一個憑證,監聽器選擇smb的,並且用一個能訪問目標主機的beacon發起攻擊
攻擊完成,成功拿下pc主機10.10.10.201的beacon:
然后繼續dump hash,又成功獲取到mssql用戶的明文和hash:
②pass the hash --> DC
利用以上同樣的方法pth到域控
域控beacon成功上線:
然后直接dump域內所有hash:
4、另類提權方法-ms14-068:
①利用Neo-reGeorg搭建socks5代理
將腳本上傳到與webshell同目錄下
python neoreg.py -k cmd -u http://192.168.1.80:7001//_async/tunnel.jsp -p 1080
然后代理工具配置127.0.0.1:1080即可
②獲取域用戶sid
通過進程注入,降權一個mssql域用戶的beacon回來:
然后執行命令獲取域用戶的sid:
③pykey獲取票據(使用proxychains代理進目標內網)
proxychains python ms14-068.py -u mssql@de1ay.com -s <SID> -p <密碼> -d <域控ip>
利用KrbCredExport.py轉換票據格式:
python2 KrbCredExport.py TGT_mssql@de1ay.com.ccache mssql.ticket
④使用cs進行票據注入
注入成功就可以使用dir等命令操作域控了
三、總結:
①通過信息收集發現7001,利用反序列化直接getshell
②利用冰蠍反彈msf會話,並添加路由掃描內網嘗試進行橫向移動
③pth與cs的smb beacon的橫向利用
④Neo-reGeorg搭建socks5代理
⑤ms14-068的域內提權利用