Weblogic引发的血案-3

  • A+
所属分类:安全文章

点击T00ls

Weblogic引发的血案-3

关注我们

接用WebLogic_Wls-Wsat_RCE_Exp.jar exp获取到shell,和上上篇文章一样。

信息收集

Weblogic引发的血案-3
Weblogic引发的血案-3

攻击

像开始说的,我是没有注意到WRSA.exe这款杀软,但是习惯性的用了Veil生成msf的exp,恰好又能过(virustotal.com)

Weblogic引发的血案-3
Weblogic引发的血案-3

利用bitsadmin命令将exp上传到目标机

Weblogic引发的血案-3
Weblogic引发的血案-3

msf监听并反弹meterpreter的shell

Weblogic引发的血案-3

这里和 Weblogic引发的血案-2有点像,哈哈哈,入口点都一样。

Weblogic引发的血案-3


域信息收集

先收集一下域信息,找找域管,找找域控。

Weblogic引发的血案-3
Weblogic引发的血案-3
Weblogic引发的血案-3
Weblogic引发的血案-3

该机子的管理员组可能存在有域管账号,如果能抓出哈希岂不是美滋滋?但是当前权限不是NT AUTHORITYSYSTEM所以msf加载的mimikatz是抓不出哈希的

Weblogic引发的血案-3

提权啊

迷惑点

综合上述,这里有个问题就是判断域管的时候留下的,就是执行net localgroup administrators显示有kxkxadmin管理员用户,然后执行net group "domain admins" /domain查看域管当中也有kxadmin用户,这是kxkxadmin迷惑了我(kx是域控),注意这个账号的格式是域控账号,这里和远程登入域机器的时候输入域管账号一样,格式也是域控账号。所以这里的kxkxadmin账号是域管的概率很大,因为它标识了。总的来说,验证的方法也很简单,就是读取kxkxadmin的密码,能登入域控的话就是域管账号了。

提权失败

Weblogic引发的血案-3

好久没有提权了,记得上次用pr.exe提了台机子还是半年前的事。
Windows-Exploit-Suggester(提权辅助工具)
在目标价执行systeminfo>1.txt,然后将1.txt拖回本地

Weblogic引发的血案-3
Weblogic引发的血案-3

这里只截取了一小部分的图,绿色代表可以利用的提权工具,[参考文章](http://www.freebuf.com/sectool/102139.html)

Weblogic引发的血案-3

ms15-051

Weblogic引发的血案-3

运行ms15-051.exe结果懵逼了

Weblogic引发的血案-3

当时第一反应就是被杀了,再一次看了进程才发现有个WRSA.exe杀软,好吧,第一次遇到,没注意。

Weblogic引发的血案-3

Webroot杀软

Weblogic引发的血案-3

手上也没有免杀的提权工具,这就很难受了。

Weblogic引发的血案-3

meterpreter

用msf自带的试试,search了几个15 16的提权模块,设置session之后 run!然而并没有用,meterpreter迁移进程和getsystem也不管用,提权难啊提权难

内网游游

Weblogic引发的血案-3

还在为提权想办法时,扫内网发现了192.168.2.245域控存在ms17-010!这次你还不死。

Weblogic引发的血案-3

添加用户怼!

Weblogic引发的血案-3

远程登入

Weblogic引发的血案-3

迫不得已的时候才用这招,当时登入的时候还被挤下线了,好采对方没发觉什么。

Weblogic引发的血案-3

mimiktaz

Weblogic引发的血案-3
Weblogic引发的血案-3

不是明文的,cmd5可破。

Cobalt Strike

利用该域控上线个cs然后arp登入一波域内机子就差不多完事了,但是死活上线不了,各种姿势都试过了,就是不给你上线,exp在进程里面了就是不给你上线(能通外网),刚开始以为是该域控环境有问题,所以就拿着域管登入到其他两个域控,还是不给上线,行吧,我在换多几台试试总可以了吧?换了不下十台机子,就是不给你上线,好气。最后以为是自己的Cobalt Strike有问题,本地运行下exp结果秒上线,狗噢。

MSF

都说Cobalt Strike是msf的界面版,那我改用msf总行吧。
添加msf路由,使得msf能访问到目标内网,[参考文章](https://www.anquanke.com/post/id/86505)

Weblogic引发的血案-3

登入域里的机器,使用到的模块

Weblogic引发的血案-3

设置对应的SMBDomain,SMBUer,SMBPass,run登入。结果三台域控没上线,只上线了两台,当时忘截图了,心累。

NTDS.dit文件

获取NTDS.dit文件,导出域控里全部域用户哈希。导出方式[参考文章](http://www.mottoin.com/90278.html)

Weblogic引发的血案-3
Weblogic引发的血案-3
Weblogic引发的血案-3
Weblogic引发的血案-3

将NTDS.dit,system,sam 三个文件拖回kali里,DUMP NTDS.dit文件[参考文章](http://www.freebuf.com/articles/system/151463.html)

Weblogic引发的血案-3

说明:这里一定要在/root/下创建ntds_cracking目录然后将ntds.dit放到该目录,路径是/root/ntds_cracking/ntds.dit 不然会报错。

Weblogic引发的血案-3

老规矩,擦屁股走人~


Weblogic引发的血案-3

本文始发于微信公众号(T00ls):Weblogic引发的血案-3

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: