点击T00ls
关注我们
直
接用WebLogic_Wls-Wsat_RCE_Exp.jar exp获取到shell,和上上篇文章一样。
信息收集
攻击
像开始说的,我是没有注意到WRSA.exe这款杀软,但是习惯性的用了Veil生成msf的exp,恰好又能过(virustotal.com)
利用bitsadmin命令将exp上传到目标机
msf监听并反弹meterpreter的shell
这里和 Weblogic引发的血案-2有点像,哈哈哈,入口点都一样。
域信息收集
先收集一下域信息,找找域管,找找域控。
该机子的管理员组可能存在有域管账号,如果能抓出哈希岂不是美滋滋?但是当前权限不是NT AUTHORITYSYSTEM所以msf加载的mimikatz是抓不出哈希的
提权啊
迷惑点
综合上述,这里有个问题就是判断域管的时候留下的,就是执行net localgroup administrators显示有kxkxadmin管理员用户,然后执行net group "domain admins" /domain查看域管当中也有kxadmin用户,这是kxkxadmin迷惑了我(kx是域控),注意这个账号的格式是域控账号,这里和远程登入域机器的时候输入域管账号一样,格式也是域控账号。所以这里的kxkxadmin账号是域管的概率很大,因为它标识了。总的来说,验证的方法也很简单,就是读取kxkxadmin的密码,能登入域控的话就是域管账号了。
提权失败
好久没有提权了,记得上次用pr.exe提了台机子还是半年前的事。
Windows-Exploit-Suggester(提权辅助工具)
在目标价执行systeminfo>1.txt,然后将1.txt拖回本地
这里只截取了一小部分的图,绿色代表可以利用的提权工具,[参考文章](http://www.freebuf.com/sectool/102139.html)
ms15-051
运行ms15-051.exe结果懵逼了
当时第一反应就是被杀了,再一次看了进程才发现有个WRSA.exe杀软,好吧,第一次遇到,没注意。
Webroot杀软
手上也没有免杀的提权工具,这就很难受了。
meterpreter
用msf自带的试试,search了几个15 16的提权模块,设置session之后 run!然而并没有用,meterpreter迁移进程和getsystem也不管用,提权难啊提权难
内网游游
还在为提权想办法时,扫内网发现了192.168.2.245域控存在ms17-010!这次你还不死。
添加用户怼!
远程登入
迫不得已的时候才用这招,当时登入的时候还被挤下线了,好采对方没发觉什么。
mimiktaz
不是明文的,cmd5可破。
Cobalt Strike
利用该域控上线个cs然后arp登入一波域内机子就差不多完事了,但是死活上线不了,各种姿势都试过了,就是不给你上线,exp在进程里面了就是不给你上线(能通外网),刚开始以为是该域控环境有问题,所以就拿着域管登入到其他两个域控,还是不给上线,行吧,我在换多几台试试总可以了吧?换了不下十台机子,就是不给你上线,好气。最后以为是自己的Cobalt Strike有问题,本地运行下exp结果秒上线,狗噢。
MSF
都说Cobalt Strike是msf的界面版,那我改用msf总行吧。
添加msf路由,使得msf能访问到目标内网,[参考文章](https://www.anquanke.com/post/id/86505)
登入域里的机器,使用到的模块
设置对应的SMBDomain,SMBUer,SMBPass,run登入。结果三台域控没上线,只上线了两台,当时忘截图了,心累。
NTDS.dit文件
获取NTDS.dit文件,导出域控里全部域用户哈希。导出方式[参考文章](http://www.mottoin.com/90278.html)
将NTDS.dit,system,sam 三个文件拖回kali里,DUMP NTDS.dit文件[参考文章](http://www.freebuf.com/articles/system/151463.html)
说明:这里一定要在/root/下创建ntds_cracking目录然后将ntds.dit放到该目录,路径是/root/ntds_cracking/ntds.dit 不然会报错。
老规矩,擦屁股走人~
本文始发于微信公众号(T00ls):Weblogic引发的血案-3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论