杀软进程为迈克菲,暂时关不掉先留后门再说
查找目标服务器的weblogic真实网站的根目录,目标服务器路径如下:
C:/Oracle/Middleware/Wls_Home/wlserver/server/lib/consoleapp/webapp/images对应网页端地址:http://xxxx/console/images/
成功穿透之后,配合Proxifier实现流量转发
之后直接使用远程桌面登录并留下粘贴键后门
登录进入桌面
桌面记事本中记录了Weblogic的账号密码
查看服务器本地的rdp远程桌面记录,内网18段的138为同密码登录,这是个专门扫描病毒的机器,安装了迈克菲
手动关闭defender执行下载后门上线
同理,同网段的170也能进行登陆
170存在any desk可以跳转到其他机器上,属于是内网沦陷了
Any desk连接验证下,截图如下
之后尝试对内网其他服务器使用cobaltstrike的powershell进行上线,发现powershell组策略被关闭,无法执行任何powershell命令
开始抓取本机hash
权限维持一下
reg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsUtilman.exe" /v Debugger /t REG_SZ /d "C:OracleMiddlewareWls_Homeuser_projectsdomainsadf_domaincodewall.exe " /f然后把本地的后门文件隐藏一下
attrib +r +s +h C:OracleMiddlewareWls_Homeuser_projectsdomainsadf_domaincodewall.exe之后用CS插件插入注册表自启动执行
简单隐藏后门之后完成内网的初步渗透
原文始发于微信公众号(C4安全团队):记一次对某外国服务器的内网渗透练手
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论