红队靶机实战(2)

时间:2024-02-01 15:45:49

0x00 前言

[手动滑稽][手动滑稽] 一天一靶机 生活充实而有趣,打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。

0x01 环境搭建

至于网卡配置的话,可以直接看官方的讲解怎么去配,打靶机前要需要启动web服务,来到server 08 机器 也就是web的机器里面,进入目录

C:\Oracle\Middleware\user_projects\domains\base_domain

里面看到startWebLogic.bat脚本双击点开运行启动weblogic服务

启动后就可以开始下一步的渗透工作了,这里来启动时候要使用管理员的身份来启动,否则启动不了。

0x02 靶机渗透

192.168.111.0这个网卡是外网的,就直接对他进行扫描

nmap -Pn -sS -A 192.168.111.80

发现了7001端口开放,banner信息显示是weblogic的服务,weblogic在历史是爆出几个命令执行漏洞的,先来尝试一下存不存在命令执行漏洞,直接上weblogic scan来扫描

python3 WeblogicScan.py 192.168.111.80 7001

发现存在CVE-2019-2725,CVE-2017-3506

上github随便找了个CVE-2019-272的exp 来使用

python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/ whoami

命令执行成功,使用命令上传webshell

python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/

这个exp里面自带了一些webshell

这里能执行命令成功 那么为了方便就直接使用pwoershell远程加载,无文件落地

成功上线,这里360居然不拦截,可能是因为断网的原因,那么下一步就可以直接来到内网环节了

0x02 内网渗透

先来做波信息收集,这里已经显示了是个管理员的权限,先来查询一下域用户

shell "net user /domain"

发现拒绝访问了 ,可能是因为权限是本地的管理员,而并不是域的管理员,这里显示拒绝访问证明没有权限,但是确实是在域环境里面

使用mimikztz抓取密码,然后进行重新的登录,发现还是一样的不行,域管理员无法查询到任何信息,既然不行的话就使用其他用户,查看进程的时候发现了有进程是以mssql的域用户进行登录的,对该进程进行进程注入

shell "net user /domain"

发现用这个用户有权限去查询,这点让我非常匪夷所思,那么就用这个账号进行查询

net user /domain

net group /domain

net group "Domain Admins " /domain

net group "Domain Controllers" /domain


net time /domain

ping 10.10.10.10

域控机器ip为 10.10.10.10

使用arp进行内网探测看看内网的机器

发现有3台机器

刚刚探测发现445端口都是开着的,直接用psexec smb之间的方式,来连接域控

这里能成功上线 再来抓取一下密码,然后再把pc拿下来

成功拿下

3台主机

0x03 结尾

这里因为也没看其他的能不能出网就使用了smb的直连过去,smb直连在内网渗透当中,是比较隐蔽的,也能很有效的去穿透防火墙,但是唯一的缺点就是如果父管道的机器掉了,其他的smb直连过去的机器也就掉了