从外网 Weblogic 打进内网接管域控

目标设定

一台出网主机，三台域内机器，获取域控桌面下的flag即为完成任务

weblogic反序列化，powershell上线CS

• 已知服务器地址为192.168.92.137，开放7001端口，扫描发现存在weblogic反序列化漏洞CVE_2020_2551
  
  

  
  

  
  
• tasklist无杀软，administrator权限
  
  

  
  

  
  

• powershell上线CS
  
  

内网信息收集

• 内网信息收集，发现为双网卡机器
  
  
  
  
• 搭frp代理进内网
  
  
  
  
• fscan扫内网10段，可以看到有一台ms17010以及mssql弱口令sa&sa
  
  
  
  
• 工具连接mssql，服务器低权限，不出网
  
  
  
  

利用GPP获取域控administrator密码

什么是 GPP

[Domain Controller]SYSVOL[Domain]Policies中的某个Grouop.xml中

利用过程

dir /s /a \域控IPSYSVOL*.xml

dir /s /a \redteam.redSYSVOLredteam.redGroups.xml

type \redteam.redSYSVOLredteam.redPolicies{B6805F5A-614E-4D32-9C2B-7AC2B6798080}MachinePreferencesGroupsGroups.xml

administrator/Admin12345

IPC横向访问域控获取flag

• IPC横向IPC是专用管道，可以实现对远程计算机的访问，需要使用目标系统用户的账号密码，使用139、445端口
• 回到weblogic被控主机cs执行以下命令

shell net use \10.10.10.8ipc$ "Admin12345" /user:redteam.redadministrator

• 至此可以接管域控，以administrator权限执行命令。

• 访问域控上的资源，获取 flag.txt
  

总结

原文链接

E

N

D

关

于

我

们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，团队致力于分享高质量原创文章、开源安全工具、交流安全技术，研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来，共发布原创文章370余篇，自研平台达到26个，目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们。

原文始发于微信公众号（WhITECat安全团队）：从外网 Weblogic 打进内网接管域控