From:http://rcoil.me/2018/03/JBoss引起的内网渗透-2/
说明:
本文中有个错误的概念验证,在判断域管理员的时候不能这么判断的,是不合理的。主要原因是在实操的时候,刚好能够使用Administrator用户密码登陆域,所以文章中就这么下结论了。这只是一个小概率事件,不成定律。
切入点
Jboss的反序列化漏洞,接下来看站点信息
正常来说这个admin-console及web-console/都是能正常访问的,就算不能正常访问也不会是404状态 ,所以为了搞清楚原因,去翻了其目录,进行对比。发现
serverdefaultdeploy #默认部署war目录
serverwebdeploy # 部署war相对应的编译生成目录
两个目录中,在webdeploy中缺少了admin-console和web-console,所以原因是:管理员在安装了JBoss后,为了安全起见,就在serverwebdeploy删除了admin-console.war和web-console.war,所以在部署目录下是存在war包,但是编译目录下是不存在的。
所以接下来就进行常规的war部署,发现war已经上传上去了,但是访问出现404,所以跑去serverwebdeploy查看,发现是没有生成相对应的文件夹,原因暂时未知。
所以就直接将jsp脚本上传到了jmx-console.war当中,成功获取WebShell
serverdefaultdeployjmx-console.war # 上传访问失败
serverwebdeployjmx-console.war # 上传访问成功
信息收集
接下来又是常规的信息收集
发现在菜刀里面执行命令,多数都是超时状态,所以还是回到之前的工具进行执行或是上传个命令执行马或是用web访问马。
进程里面是存在avguard.exe,所以需要做免杀。系统是windows xp-x86。
在查看环境变量的时候发现是存在powershell的,但是没起作用。
net user #查看本机用户
-------------------------------------------------------------------------------
Administrator Guest HelpAssistant
postgres saverio SUPPORT_388945a0
net group "domain admins" /domain #查看域管理员
-------------------------------------------------------------------------------
Administrator bckagent dbagent
faxmaker idsmessina lattuca
SpaceGuardSvcAccnt trovato VMwareVDPBackupUser
net group "domain controllers" /domain #查看域控制器
-------------------------------------------------------------------------------
DOMAIN1$ DOMAIN2$
域用户就不列举了,实在有些多
信息收集到这里,就有些蹊跷,因为本机用户里面,除了Administrator存在于域用户中,其余的账户均不见,所以这里能直接判断Administrator就是域管理员。
综合以上信息:
DOMAIN2 - 192.168.20.10 # 域控制器
PROTRIBUTCT -Administrator # 域管理员
avguard.exe # 小红伞杀软
powershell # 不可用
小小免杀
续上次的shellter免杀,是过不了小红伞的,所以,这种时候,该储备的东西就起作用了。
生成一个Metasploit的马,去Virustotal做测试免杀,是过了AVG的,所以尝试一波。但是,生成的exe在windows 7下面是能正常执行的,但是到了xp上面就不行了。
用Veil生成个吧,安装Veil也是个大坑,图就不放了。
横向内网
接下来思路就很明确了。将PROTRIBUTCT的密码dump下来,幸运的话整个域就能拿下来了。
至此,这个域已经拿下,比上篇难度相对来说要小一些。
还有一个点,就是在查看域控的时候发现是有两台的,也是一样的登陆方式进行登陆即可。但是在这两台域控执行net view /domain:xxxxx结果都是不一样的,这也许就是两台域控的缘故吧。但是DOMAIN1所在的段只能通过DOMAIN2出来,其他机器做跳板均没数据,或许这是玄学了吧。
至此,整个测试流程就结束了。整个过程有点顺利,不是我发blog的初衷。
Jboss引起的内网渗透3
首先说明,这个系列的JBoss都是批量获取的,并不是针对某地区某组织而为。
WebShell如同上一篇文章获取,但是这次是直接上传jsp脚本文件,这样更加快捷。
信息收集
|
翻阅目录
-
从用户目录来看,发现域管登录的痕迹;
-
C盘根目录下有
metasploit,创建时间为2016-04-19; -
用户
support用于黑客行为操作用户(CrackMapExec扫描日志等); -
在
deploymanagement存在大量后门文件; -
在
$Recycle.Bin存在已删除的恶意exe可执行文件; -
存在
Panda Security(熊猫卫士)文件夹 -
后门之多无法想象。
进程收集
-
存在
PSANHost.exe(熊猫卫士) -
大量的
cmd.exe、powershell.exe及taskkill.exe
其他
-
screenshot –> 锁屏
问题处理
问题
-
上传的
远控可执行文件运行无反应; -
执行Desktop下的
mimikatz.exe,一执行就消失(杀软?); -
使用
powershell执行mimikatz获取hash,但密码为空(注册表被篡改了?); -
无法将自添加的用户加入管理员组;
-
无法执行
net view等命令(net 系列缺失)。
分析
-
生成的马是免杀的(virustotal.com);
-
Panda动态查杀mimikatz; -
存在
KB2871997补丁(Administrator-500); -
执行命令无回显估计是因为地区语言的原因。
突破方法
-
生成新的
CS马; -
修改注册表;
-
使用
PsExec进行hash注入; -
对内网使用
MS-17-010; -
对内网的Web服务进行渗透。
横向拓展
前奏
反弹个metasploit的shell,利用smb进行主机识别。但是失败,估计是在添加路由的时候出现错误,导致访问不到它的内网段。
已知条件:
-
远控上线;
-
SZXzzAO-RxxxSY各用户的hash。
定位
想要横向,那就得需要知道域控为哪些,域管为哪些,域用户为哪些,内网机器存活为多少。这就关于到内网渗透定位技术问题。
常规的命令:
|
以下内容是以上信息的综合:
域控:
SZXDC01 --> 192.168.140.10
SZXDC02 --> 192.168.140.11
使用Cobalt Strike的ARP扫描(因为net view使用不了),使得Targets有记录。
接下来就是找域管理员,既然不知道组名称,那就先找组名,过程参考内网渗透测试定位技术总结
完成!
方法
用比较典型的hash注入碰一下看看运气怎么样。由于存在KB2871997补丁,所以只能使用administrator用户进行注入。
登陆情况如下:
192.168.140.10 # 失败
192.168.140.11 # 失败
192.168.140.14 # 成功
....
192.168.140.57 # 成功
192.168.140.78 # 失败
192.168.140.160 # 成功
....
这个过程就是不断的进行hash注入,不断的dump密码,结果就如上图。看Credentials里是否存在域管用户账密。
成功获取到域管的账号密码。进行登陆。
本文始发于微信公众号(关注安全技术):Jboss引起的内网渗透2-3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论