目标设定
weblogic反序列化,powershell上线CS
-
已知服务器地址为192.168.92.137,开放7001端口,扫描发现存在weblogic反序列化漏洞CVE_2020_2551 ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
-
tasklist无杀软,administrator权限 ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
-
powershell上线CS ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
内网信息收集
-
内网信息收集,发现为双网卡机器 ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
-
搭frp代理进内网 ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
-
fscan扫内网10段,可以看到有一台ms17010以及mssql弱口令sa&sa ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
-
工具连接mssql,服务器低权限,不出网 ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
利用GPP获取域控administrator密码
什么是 GPP
[Domain Controller]SYSVOL[Domain]Policies中的某个Grouop.xml中利用过程
使用
dir /s /a \域控IPSYSVOL*.xml
dir /s /a \redteam.redSYSVOLredteam.redGroups.xml
type \redteam.redSYSVOLredteam.redPolicies{B6805F5A-614E-4D32-9C2B-7AC2B6798080}MachinePreferencesGroupsGroups.xml
administrator/Admin12345
IPC横向访问域控获取flag
-
IPC横向IPC是专用管道,可以实现对远程计算机的访问,需要使用目标系统用户的账号密码,使用139、445端口 -
回到weblogic被控主机cs执行以下命令
shell net use \10.10.10.8ipc$ "Admin12345" /user:redteam.redadministrator
-
至此可以接管域控,以administrator权限执行命令。
-
访问域控上的资源,获取 flag.txt ![从外网 Weblogic 打进内网接管域控]( "从外网 Weblogic 打进内网接管域控")
总结
原文链接
https://mp.weixin.qq.com/s/dcYbIfLwN-Aw0Z9XxQSGkQ
E
N
D
关
于
我
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章370余篇,自研平台达到26个,目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们。
原文始发于微信公众号(WhITECat安全团队):从外网 Weblogic 打进内网接管域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论