标签:实战 mssql 使用 抓取 cts 内网 lock dom 搭建
[手动滑稽][手动滑稽] 一天一靶机 生活充实而有趣,打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。
至于网卡配置的话,可以直接看官方的讲解怎么去配,打靶机前要需要启动web服务,来到server 08 机器 也就是web的机器里面,进入目录
C:\Oracle\Middleware\user_projects\domains\base_domain
里面看到startWebLogic.bat脚本双击点开运行启动weblogic服务
启动后就可以开始下一步的渗透工作了,这里来启动时候要使用管理员的身份来启动,否则启动不了。
192.168.111.0这个网卡是外网的,就直接对他进行扫描
nmap -Pn -sS -A 192.168.111.80
发现了7001端口开放,banner信息显示是weblogic的服务,weblogic在历史是爆出几个命令执行漏洞的,先来尝试一下存不存在命令执行漏洞,直接上weblogic scan来扫描
python3 WeblogicScan.py 192.168.111.80 7001
发现存在CVE-2019-2725,CVE-2017-3506
上github随便找了个CVE-2019-272的exp 来使用
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/ whoami
命令执行成功,使用命令上传webshell
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/
这个exp里面自带了一些webshell
这里能执行命令成功 那么为了方便就直接使用pwoershell远程加载,无文件落地
成功上线,这里360居然不拦截,可能是因为断网的原因,那么下一步就可以直接来到内网环节了
先来做波信息收集,这里已经显示了是个管理员的权限,先来查询一下域用户
shell "net user /domain"
发现拒绝访问了 ,可能是因为权限是本地的管理员,而并不是域的管理员,这里显示拒绝访问证明没有权限,但是确实是在域环境里面
使用mimikztz抓取密码,然后进行重新的登录,发现还是一样的不行,域管理员无法查询到任何信息,既然不行的话就使用其他用户,查看进程的时候发现了有进程是以mssql的域用户进行登录的,对该进程进行进程注入
shell "net user /domain"
发现用这个用户有权限去查询,这点让我非常匪夷所思,那么就用这个账号进行查询
net user /domain
net group /domain
net group "Domain Admins " /domain
net group "Domain Controllers" /domain
net time /domain
ping 10.10.10.10
域控机器ip为 10.10.10.10
使用arp进行内网探测看看内网的机器
发现有3台机器
刚刚探测发现445端口都是开着的,直接用psexec smb之间的方式,来连接域控
这里能成功上线 再来抓取一下密码,然后再把pc拿下来
成功拿下
3台主机
这里因为也没看其他的能不能出网就使用了smb的直连过去,smb直连在内网渗透当中,是比较隐蔽的,也能很有效的去穿透防火墙,但是唯一的缺点就是如果父管道的机器掉了,其他的smb直连过去的机器也就掉了
标签:实战 mssql 使用 抓取 cts 内网 lock dom 搭建
原文地址:https://www.cnblogs.com/nice0e3/p/13056365.html