DC——IP:10.10.10.024;OS:Windows 2012;应用:AD域。
WEB——IP1:10.10.10.024;IP2:192.168.111.024;OS:Windows 2008;应用:Weblogic 10.3.6 ;MSSQL 2008。
PC——IP1:10.10.10.024;IP2:192.168.111.024;OS:Windows 7。
kali—— IP:192.168.111.128。
2.1端口扫描
首先对外网进行了nmap扫描发现192.168.111.201、192.168.111.80两个暴露在外的主机,并对其服务进行了扫描,结果如下:
然后使用nmap的vuln对主机对常见漏洞进行扫描
这里扩展一下nmap的常见脚本:
|
broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
brute: 提供暴力破解方式,针对常见的应用如http/snmp等
default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等
external: 利用第三方的数据库或资源,例如进行whois解析
fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
malware: 探测目标机是否感染了病毒、开启了后门等信息
safe: 此类与intrusive相反,属于安全性脚本
version: 负责增强服务与版本扫描(Version Detection)功能的脚本
vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067
|
2.2 Weblogic
在192.168.111.80主机上发现7001端口,访问console后发现是weblogic
利用WeblogicScan检测历史漏洞,存在CVE2019-2725
2.3 反序列化利用
方法1:把shell写到控制台images目录中目录上传木马,访问
|
OracleMiddlewarewlserver_10.3serverlibconsoleappwebappframeworkskinswlsconsoleimagesshell.jsp
|
方法2:写到uddiexplorer目录中目录写入木马,访问
|
http://...:7001/console/framework/skins/wlsconsole/images/shell.jsp
|
方法3:在应用安装目录中
|
OracleMiddlewareuser_projectsdomainsapplicationserversAdminServertmp_WL_user项目名随机字符warshell.jsp
|
目录写入木马,访问
|
http://...:7001/项目名/shell.jsp
|
2.4Getshell
经过多次测试,目标主机上应该存在杀软,这里用哥斯拉上传木马绕过。
成功上传哥斯拉,webshell管理工具连接成功。
3.1免杀上线MSF
3.2 system权限
使用UAC绕过+进程注入得到目标主机system权限
3.3 获取密码
Hashdump+kiwi信息收集获取主机密码,没想到这里直接得到域用户Administrator的密码,应该是域用户登陆过该主机导致缓存。
3.4 开启3389远程登陆
|
run post/windows/manage/enable_rdp
|
远程登陆主机
4.1 CS上线
4.2 内网扫描
对内网进行扫描,发现10.10.10.10(域控)、10.10.10.201等
4.3 域控
到此成功获取整个域权限,写文章的时候感觉很顺利,实际上每一步都进行了很多尝试,例如杀软绕过和域内的一些权限获取都费了一番功夫,好在最后还是成功拿到了域控...
原文始发于微信公众号(SAINTSEC):记一次曲折的域环境渗透测试过程一
评论