一、 环境信息

DC——IP：10.10.10.024；OS：Windows 2012；应用：AD域。

WEB——IP1：10.10.10.024；IP2：192.168.111.024；OS：Windows 2008；应用：Weblogic 10.3.6 ；MSSQL 2008。

PC——IP1：10.10.10.024；IP2：192.168.111.024；OS：Windows 7。

kali—— IP：192.168.111.128。

 

二、 WEB渗透

2.1  端口扫描

首先对外网进行了nmap扫描发现192.168.111.201、192.168.111.80两个暴露在外的主机，并对其服务进行了扫描，结果如下：

192.168.111.80:

192.168.111.201

然后使用nmap的vuln对主机对常见漏洞进行扫描

这里扩展一下nmap的常见脚本：

auth: 负责处理鉴权证书（绕开鉴权）的脚本 broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务 brute: 提供暴力破解方式，针对常见的应用如http/snmp等 default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力 discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等 dos: 用于进行拒绝服务攻击 exploit: 利用已知的漏洞入侵系统 external: 利用第三方的数据库或资源，例如进行whois解析 fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞 intrusive: 入侵性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽 malware: 探测目标机是否感染了病毒、开启了后门等信息 safe: 此类与intrusive相反，属于安全性脚本 version: 负责增强服务与版本扫描（Version  Detection）功能的脚本 vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067

2.2  Weblogic

在192.168.111.80主机上发现7001端口，访问console后发现是weblogic

利用WeblogicScan检测历史漏洞，存在CVE2019-2725

2.3  反序列化利用

weblogic路径

方法1：把shell写到控制台images目录中目录上传木马，访问

OracleMiddlewarewlserver_10.3serverlibconsoleappwebappframeworkskinswlsconsoleimagesshell.jsp

方法2：写到uddiexplorer目录中目录写入木马，访问

http://...:7001/console/framework/skins/wlsconsole/images/shell.jsp

方法3：在应用安装目录中

OracleMiddlewareuser_projectsdomainsapplicationserversAdminServertmp_WL_user项目名随机字符warshell.jsp

目录写入木马，访问

http://...:7001/项目名/shell.jsp

获得上传路径

2.4  Getshell

经过多次测试，目标主机上应该存在杀软，这里用哥斯拉上传木马绕过。

成功上传哥斯拉，webshell管理工具连接成功。

三、主机权限、内网信息

3.1  免杀上线MSF

生成混淆exe，上传成功上线目标主机

3.2  system权限

使用UAC绕过+进程注入得到目标主机system权限

3.3  获取密码

Hashdump+kiwi信息收集获取主机密码，没想到这里直接得到域用户Administrator的密码，应该是域用户登陆过该主机导致缓存。

3.4  开启3389远程登陆

run post/windows/manage/enable_rdp

远程登陆主机

主机

关闭杀软以及防火墙

四、域渗透

4.1  CS上线

上传CS远端上线

UAC提权获取主机system权限

转储哈希

4.2  内网扫描

对内网进行扫描，发现10.10.10.10（域控）、10.10.10.201等

生成中转会话

4.3  域控

哈希传递拿到域控

拿下整个域

到此成功获取整个域权限，写文章的时候感觉很顺利，实际上每一步都进行了很多尝试，例如杀软绕过和域内的一些权限获取都费了一番功夫，好在最后还是成功拿到了域控...

原文始发于微信公众号（山石网科安全技术研究院）：记一次曲折的域环境渗透测试