记一次曲折的域环境渗透测试

admin 2022年4月29日19:01:46安全文章评论7 views1842字阅读6分8秒阅读模式
记一次曲折的域环境渗透测试

一、 环境信息


DC——IP:10.10.10.024;OS:Windows 2012;应用:AD域。

WEB——IP1:10.10.10.024;IP2:192.168.111.024;OS:Windows 2008;应用:Weblogic 10.3.6 ;MSSQL 2008。

PC——IP1:10.10.10.024;IP2:192.168.111.024;OS:Windows 7。

kali—— IP:192.168.111.128。
 
记一次曲折的域环境渗透测试

二、 WEB渗透


2.1  端口扫描

首先对外网进行了nmap扫描发现192.168.111.201、192.168.111.80两个暴露在外的主机,并对其服务进行了扫描,结果如下:

192.168.111.80:
记一次曲折的域环境渗透测试
192.168.111.201
记一次曲折的域环境渗透测试

然后使用nmap的vuln对主机对常见漏洞进行扫描

这里扩展一下nmap的常见脚本:

auth: 负责处理鉴权证书(绕开鉴权)的脚本
broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
brute: 提供暴力破解方式,针对常见的应用如http/snmp等
default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等
dos: 用于进行拒绝服务攻击
exploit: 利用已知的漏洞入侵系统
external: 利用第三方的数据库或资源,例如进行whois解析
fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
malware: 探测目标机是否感染了病毒、开启了后门等信息
safe: 此类与intrusive相反,属于安全性脚本
version: 负责增强服务与版本扫描(Version  Detection)功能的脚本
vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067

2.2  Weblogic

在192.168.111.80主机上发现7001端口,访问console后发现是weblogic
利用WeblogicScan检测历史漏洞,存在CVE2019-2725
记一次曲折的域环境渗透测试


2.3  反序列化利用

weblogic路径
方法1:把shell写到控制台images目录中目录上传木马,访问
OracleMiddlewarewlserver_10.3serverlibconsoleappwebappframeworkskinswlsconsoleimagesshell.jsp

方法2:写到uddiexplorer目录目录写入木马,访问


http://...:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法3:在应用安装目录中

OracleMiddlewareuser_projectsdomainsapplicationserversAdminServertmp_WL_user项目名随机字符warshell.jsp

录写入木马,访问

http://...:7001/项目名/shell.jsp
得上传路径
记一次曲折的域环境渗透测试

2.4  Getshell

经过多次测试,目标主机上应该存在杀软,这里用哥斯拉上传木马绕过。
记一次曲折的域环境渗透测试

成功上传哥斯拉,webshell管理工具连接成功。
记一次曲折的域环境渗透测试


记一次曲折的域环境渗透测试

三、主机权限、内网信息


3.1  免杀上线MSF

生成混淆exe,上传成功上线目标主机
记一次曲折的域环境渗透测试

3.2  system权限

使用UAC绕过+进程注入得到目标主机system权限
记一次曲折的域环境渗透测试


3.3  获取密码

Hashdump+kiwi信息收集获取主机密码,没想到这里直接得到域用户Administrator的密码,应该是域用户登陆过该主机导致缓存。
记一次曲折的域环境渗透测试

记一次曲折的域环境渗透测试


3.4  开启3389远程登陆


run post/windows/manage/enable_rdp

远程登陆主机

记一次曲折的域环境渗透测试
主机
关闭杀软以及防火墙
记一次曲折的域环境渗透测试


记一次曲折的域环境渗透测试

四、域渗透

4.1  CS上线

上传CS远端上线
记一次曲折的域环境渗透测试

UAC提权获取主机system权限
记一次曲折的域环境渗透测试
转储哈希
记一次曲折的域环境渗透测试


4.2  内网扫描

对内网进行扫描,发现10.10.10.10(域控)、10.10.10.201等
记一次曲折的域环境渗透测试
生成中转会话
记一次曲折的域环境渗透测试

4.3  域控

哈希传递拿到域控
记一次曲折的域环境渗透测试
下整个域
记一次曲折的域环境渗透测试

到此成功获取整个域权限,写文章的时候感觉很顺利,实际上每一步都进行了很多尝试,例如杀软绕过和域内的一些权限获取都费了一番功夫,好在最后还是成功拿到了域控...
记一次曲折的域环境渗透测试

原文始发于微信公众号(山石网科安全技术研究院):记一次曲折的域环境渗透测试

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日19:01:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次曲折的域环境渗透测试 http://cn-sec.com/archives/962097.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: