0
点赞
收藏
分享

微信扫一扫

极狐GitLab CICD Catalog Beta 功能介绍

环境搭建

配置信息

攻击机

IP:192.168.47.128

WEB,PC 有360和防火墙

三台机子的默认密码都是1qaz@WSX,但是web这一台服务器默认密码登录会错误,解决办法是选择v1.3的快照,报错之后点击放弃,然后重启web虚拟机就可以进了。

同时需要在web机开启weblogic服务

内网

首先添加一个vm2的内网自定义,设置子网为10.10.10.1/24

当虚拟机开启时,会采用已经设定过的ip地址(必须符合10.10.10开头

将DC,PC,WEB 设为 vm2 (内网环境)

外网

内网设置好了,外网这样设置

我设置的外网连接方式为NAT

将 攻击机,PC,WEB 外网设置为NAT,为了与kali在同一网段

PC与WEB做修改如下:

Dc:

Pc

Win

开启web服务

开启WEB的服务:管理员身份运行

C:\Oracle\Middleware\user_projects\domains\base_domain

信息收集

Nmap端口扫描

nmap -T4 -A -p 1-65535 192.168.163.137

由nmap扫描结果可知:

端口扫描

80,1433,3389,,7001,60966等

服务版本识别

IIS httpd 7.5,SQL Server 2008 R2 SP2,远程桌面服务,WebLogic Server

操作系统信息识别

Windows Server 2008 R2 - 2012

de1ay.com

工具检测发现漏洞

Dir查看路劲

查看进程

木马获取shell

weblogic上传木马路径选择:weblogic上传路径

这里选择第一种

上传木马

被360查杀了

给冰蝎做免杀

GitHub - Tas9er/ByPassBehinder: ByPassBehinder / 冰蝎WebShell免杀生成 / Code By:Tas9er

生成木马

C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

查看生成成功了

但是太老了还是被查杀了

只能关闭360了不然免杀都不会做

冰蝎尝试一直失败

用哥斯拉

连接成了

cs生成监听器反弹到cs客户端

哥斯拉上传cs木马文件

Cs端收到回连

接着用ms-15权限提升

域内信息

1). 本机信息收集

得知web服务器为Windows server 2008 有两个网段

2). 域内信息收集

域名为de1ay.com 存在两台域主机web和pc 域控为DCde1ay.com主机名为DC,域管理员为Administrator

接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机。

内网安全:Cobalt Strike 与 MSF 联动( 会话 相互转移 )_msfconsole的background挂起会话后怎么启动会话-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/weixin_54977781/article/details/131178720?ops_request_misc=%7B%22request%5Fid%22%3A%22172250449416800213084897%22%2C%22scm%22%3A%2220140713.130102334.pc%5Fall.%22%7D&request_id=172250449416800213084897&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-131178720-null-null.142^v100^pc_search_result_base9&utm_term=cobalt strike4.7%E8%81%94%E5%8A%A8msf&spm=1018.2226.3001.4187

服务器安装msf

chmod 755 msfinstall.sh && ./msfinstall.sh

Cs生成外联监听器

权力委派上线成功

新建会话

Cs抓取密码凭证

权限维持

记录域名DE1AY.com的SID值

Authentication Id : 0 ; 158137 (00000000:000269b9)

Session           : Service from 0

User Name         : mssql

Domain            : DE1AY

Logon Server      : DC

Logon Time        : 2024/8/5 7:02:10

SID               : S-1-5-21-2756371121-2868759905-3853650604-2103

hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

de1ay:1000:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

 制作黄金票据

Administrator

DE1AY.com

S-1-5-21-2756371121-2868759905-3853650604-2103

31d6cfe0d16ae931b73c59d7e0c089c0

用于权限维持

横向渗透

smb渗透

端口扫描

目标列表查看

创建smb监听

右击会话—jump—psexec64(PC为32位,需要使用psexec)

10.10.10.10上线成功了

再次端口扫描发现

10.10.10.201

同样的方法上线成功了

思考总结:

免杀不会,外网打点信息收集不全,横向不熟练,渗透框架还不够结实

举报

相关推荐

0 条评论