某国zf的一次渗透

‍

https://xxxx.xxxx.gov.xx/xxxxxx/txxxxx11.jsp  pass1024

https://xxxx.xxxx.gov.xx//xxxxx/xxo.jsp  tenet

内网当中存在大量的weblogic，外网的有洞那么内网的也一定有洞这里就一把梭了

这个3网段是在weblogic机器看见的网段，边界机器上只有2和22两个段

内网的全部weblogic 都是一把梭

里面的outlook都没洞

HAL manager console存在弱口令

admin/admin

内网的 tomcat

http://192.168.2.217:8002 http://192.168.2.197:8080http://192.168.3.140:8080 Tomcat/8.5.57http://192.168.52.17:8080 Tomcat/7.0.76http://192.168.8.58:8080http://192.168.52.15:8080   Tomcat/7.0.76http://192.168.52.141:8080  Tomcat/8.5.34http://192.168.2.222:8002  Tomcat/9.0.34

都是不存在弱口令和其他cve漏洞

Dc 机器

192.168.2.4192.168.2.6192.168.2.8192.168.2.231 192.168.3.135   192.168.3.244   192.168.3.246   

在这里的时候一台windows机器都没拿下无法进行横向移动，这种内网环境存在ms17-010数量不多，但是利用一台就能移动

192.168.2.245 Windows server 2003系统存在 ms17-010

这里先扫描一下看看 能不能执行命令

这里执行成功了,那就直接开打

对于这种老机器就用 exploit/windows/smb/ms17_010_psexec 模块成功高一些

这就加载了kiwi来抓取密码，但是这个kiwi需要进程迁移到x64的程序上才能执行

这里通过上面同样的办法拿下了10.255.1.53机器

这里发现两台机器的密码有些账户相同，配合crackmapexec来做hash值喷洒

这里遇到一个转折点就是，rdp上去的时候发现这个两个ip段，10和172那这就说明这个内网的机器能访问到这两个ip，直接fsca扫描

Fscan扫描结果，这个10段应该就是整个内网的东西了那攻击面就会继续扩大

这里通过密码喷洒发现了机器的hash值相同（忘记截图了）

这个10.255.1.52的机器是通过

brosangela:500:51562b88640b6a9ec0d0d3c272c7586c:9af7b20781f8dfffa46c691485fdf818
Hash密码!@mora24!@

上面这串hash进行传递的

10.255.1.52的hash值这里有administrator账户和hash值

这里利用1.52机器的administrator账户继续密码喷洒

这个administrator的密码和1.52机器的密码是一样的

这里就喷洒到了域控机器

那我们就进行hash传递看是否能上线(这个内网存在赛门铁克设备)

拿下了第一台域控机器，接下来就是继续喷洒拿下机器进行横向

这里将全部的hash抓出来这个域控算是完成了

这个192.168.3.244机器通过msf无法传递hash值所以只能进行rdp，而且无法出网也上不了mimikatz

192.168.3.135也是一样 基本上3网段的机器是没问题了就是无法解决怎么上到msf这个上面

这个内网也有vcenter但是没洞拿不下，而且到这也天亮了不好继续打了