Vulstack(二)

发布于 2021-10-10  173 次阅读


已知信息和目标

  • IP:10.203.87.215 (咱们假设他是一个公网IP熬!)
  • 对其进行一个内网渗透

外围打点

信息收集

image-20211009180923585

上来线来一波goby一把梭,发现有两处可利用信息。

image-20211009181040549

存在 永恒之蓝 漏洞,开启了Weblogic服务。

永恒之蓝

首先对永恒之蓝进行尝试。

image-20211009182912303

失败了,具体原因目前还不清楚

Weblogic

image-20211009192714621

存在CVE-2019-2725这是一个反序列化RCE的漏洞,直接github寻找exp

image-20211009193250276

接下来 利用该exp成功上传webshell

image-20211009194202333

想要通过远程下载的方式,上传冰蝎马,失败了。(太菜了太菜了)

通过github上面找到的工具,进行上传

工具地址

image-20211009212946123

这里涉及到一个目录选择的问题:参考 https://www.cnblogs.com/sstfy/p/10350915.html

这里采用的上传路径为:

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

image-20211009213146870

通过冰蝎将目标机器上线到cs上。

image-20211009215707797

调整心跳值 sleep 5,(实战不建议这么快!),到这里getshell就完成了。

主机信息收集

ipconfig /all

存在两个网卡10.203.87.0/24能通外网的网卡,10.10.10.0/24的内网服务器。主DNS服务器是delay.com怀疑存在域控。

image-20211010163701524

systeminfo

该服务器版本为windows Server 2008 R2 增加了三个补丁程序(该处信息为后续提权做准备)。确定存在域控,域控主机的域名为de1ay.com

image-20211010164128456

ping de1ay.com

确定域控主机的ip

image-20211010171452686

凭证获取

因为是Administrator,尝试抓取一下密码。

image-20211010171756590
image-20211010171845644
image-20211010171945111

杀软识别

image-20211010180935447

portscan进一步收集

image-20211010182230078

Windows提权

提权system

image-20211010172136017

根据window 提权辅助工具获取存在ms14-058,使用cs插件的梼杌的提权模块即可

image-20211010180812480

横向移动

psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务

内网机器均开放445端口,因此使用psexec

派生SMB Beacon

image-20211010183301913
image-20211010183653681

psexec横移

image-20211010184647394
image-20211010184713843
image-20211010184757747

但是很笨,不太稳定。

制作黄金票据

获得KRBTGT账户NTLM密码哈希

image-20211010193829187

获取SID

image-20211010194057543

制作票据

image-20211010194242991

总结反思

  • 首先前端打点的时候,成功找到weblogiccve-2019-2725也利用工具拿到了页面的shell,但是后续要上冰蝎的马的时候,卡住了。这里我的想法是,利用powershell远程下载文件,但是现在也不太清楚为啥总是识别不到该命令,最后还是使用工具进行的上传。后来跟别的师傅交流,可以使用curl来落地文件,这也一直是我的弱项,后续要补强。
  • 其次,还是之前遇到的问题,cs的使用还是不够熟练,要强化cs的学习,不得不说真的好用。
  • 这里还遇到的ms14-085的提权问题,Windows提权一直没有系统的学习过,后续还要认真的学习一下Windows的提权
  • 黄金票据的制作,也非常关键这里找到了好的文章https://www.jianshu.com/p/23a4e8978a30
  • 信息收集真的很重要,之前粗略的过了一边,但是还是不够完善。后续还要整理完整的思路。现在的思路是:查看网卡信息,识别域控,域内扫描,横移到其他主机。
  • cs直接派生的smb一直不太稳定,后续还要补强socks代理连接cs
  • 强化一个意识,因为这是一个靶场,不需要做权限维持,所以一直没有权限维持的意识,后续一定要有意识的去做权限维持。