内网渗透靶场02----Weblogic反序列化+域渗透

news2024/11/15 17:19:56

 网络拓扑:

        

攻击机:
Kali:  192.168.111.129
Win10: 192.168.111.128
靶场基本配置:
    web服务器
        双网卡机器: 192.168.111.80(模拟外网)
                    10.10.10.80(模拟内网)
    域成员机器 WIN7PC
                192.168.111.201
                10.10.10.201
    域控DC:10.10.10.10

        利用kscan工具,针对192.168.111.0/24 C段开展端口扫描,发现2台存活主机,具体如下图所示:

                192.168.111.80  开放 80、445、3389、7001端口。

                192.168.111.201 开放 3389、445端口

根据上述端口发放情况,首先尝试爆破192.168.111.80以及192.168.111.201  3389端口。无果,其原因是访问受限。

目前只能通过192.168.111.80开放的80,7001端口进行入手。直接访问80端口发现没什么可以利用的点,放弃。

7001通常是weblogic的默认端口,直接访问weblogic默认登录界面,

http://192.168.111.80:7001/console/login/LoginForm.jsp

通过访问weblogic登录页面可知,weblogic目前的版本是10.3.6.0,上网搜索当前weblogic版本历史上爆出过哪些漏洞?具体如下:

利用weblogic历史漏洞扫描工具--weblogicScanner工具进行批量扫描。

github地址:https://github.com/0xn0ne/weblogicsanner

 发现weblogic 10.3.6.0版本存在的的历史漏洞,具体如下:

利用反序列化工具,直接梭哈CVE-2019-2725,上传哥斯拉木马,具体如下:

使用哥斯拉webshell管理工具连接webshell,whoami 现实当前是Administrator权限。

为了方便后续提权,内网横向渗透等,需要将shell上线到CS或者是MSF,本次我们选择上传Cobalt-strike木马,如下所示CS顺利上线。

由于目前获取的机器是Administrator权限,因此可以直接运行getsystem获取机器的system权限,到目前为止,机器192.168.111.80机器完全被控制,即获取了机器的system权限。具体如下

CS自带minikatzg工具,输入logonpasswords 实现对目标主机本地密码和哈希的读取,抓取到本机delay用户的明文密码以及域用户mssql的明文密码,具体如下:

WEB\delay:1qaz@WSX

DE1ay\mssql:1qaz@WSX

接下来进行域内信息收集:

收集域控机器

发现域控机器:10.10.10.10  

目前已收集到域内信息,域内主机存在3台机器,且域控为10.10.10.10

利用CS portscan功能,开展10.10.10.0/24 C段探测。

发现其余域内主机,10.10.10.201以及10.10.10.10(域控机器),截止目前为止

域内共计三台主机

        10.10.10.80(已经获取其system权限)

        10.10.10.201

        10.10.10.10(域控)

后续 的目标是如何拿下域控10.10.10.10 以及10.10.10.201的权限?

使用Zerologon漏洞攻击域控服务器

首先我们通过利用前期收集到的用户名\密码信息,RDP远程登录192.168.111.80web服务器。上传Mimikatz,运行mimikatz

通过上述可以看到存在Zerologon漏洞

执行命令针对域控服务器发其渗透测试

lsadump::zerologon /target:DC.de1ay.com /account:DC$ /exploit

运行mimikatz获取域控服务器的登录凭据,具体如下:

运行命令:
lsadump:: dcsync /domain:de1ay.com /dc:DC.de1ay.com /user:administrator /authuser:DC$ /authdomain:de1ay /authpassword:"" /authnt1m

成功获取域控服务器的Administrator用户的密码哈希值,利用MD5在线解密网站,可以获得Administrator明文密码为1qaz@WSX

获取域控用户名和密码之后,采取口令复用的方式实现内网传播。

具体步骤:view-Credentials,添加域控制器的登录凭证

执行psexec命令

未完待续>>>>>>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1439664.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AI嵌入式K210项目(26)-二维码识别

文章目录 前言一、什么是二维码?二、实验准备三、实验过程四、API接口总结 前言 本章介绍基于机器视觉实现二维码识别,主要包含两个过程,首先检测图像中是否有二维码,如果有则框出并打印二维码信息; 一、什么是二维码…

吉他学习:右手拨弦方法,右手拨弦训练 左手按弦方法

第六课 右手拨弦方法https://m.lizhiweike.com/lecture2/29362775 第七课 右手拨弦训练https://m.lizhiweike.com/lecture2/29362708

Redis——缓存设计与优化

讲解Redis的缓存设计与优化,以及在生产环境中遇到的Redis常见问题,例如缓存雪崩和缓存穿透,还讲解了相关问题的解决方案。 1、Redis缓存的优点和缺点 1.1、缓存优点: 高速读写:Redis可以帮助解决由于数据库压力造成…

高斯伪谱C++封装库开源!

Windows x64/86 C无依赖运行高斯伪谱法求解最优控制问题,你只需要ElegantGP! Author: Y. F. Zhang His Github: https://github.com/ZYunfeii 写在前面 这个库在你下载它的那一时刻起不再依赖任何其他代码,直接可用来构建C的最优控制问题并进行求解。…

vscode配置wsl ubuntu c++的环境

在ubuntu安装llvm/clang sudo apt install llvm clang clangd lldb vscode的调试器接口是按GDB开发的,所以需要一个适配器,lldb-mi就是这个适配器。lldb-mi原来是llvm项目的一部分,后面成为了一个单独的项目https://github.com/lldb-tools/…

编译原理实验1——词法分析(python实现)

文章目录 实验目的实现定义单词对应的种别码定义输出形式:三元式python代码实现运行结果检错处理 总结 实验目的 输入一个C语言代码串,输出单词流,识别对象包含关键字、标识符、整型浮点型字符串型常数、科学计数法、操作符和标点、注释等等。…

一条 SQL 更新语句是如何执行的?

之前你可能经常听 DBA 同事说,MySQL 可以恢复到半个月内任意一秒的状态,惊叹的同时,你是不是心中也会不免会好奇,这是怎样做到的呢? 我们先从一条更新语句讲起,首先创建一个表,这个表有一个主键…

百卓Smart管理平台 uploadfile.php 文件上传漏洞【CVE-2024-0939】

百卓Smart管理平台 uploadfile.php 文件上传漏洞【CVE-2024-0939】 一、 产品简介二、 漏洞概述三、 影响范围四、 复现环境五、 漏洞复现手动复现小龙验证Goby验证 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工…

Python 线性回归可视化 并将回归函数放置到图像上

import matplotlib.pyplot as plt import scipy import seaborn as sns# 加载内置的数据集 df sns.load_dataset(tips)#create regplot p sns.regplot(xtotal_bill, ytip, datadf)#calculate slope and intercept of regression equation slope, intercept, r, p, sterr sci…

FlinkSql 窗口函数

Windowing TVF 以前用的是Grouped Window Functions(分组窗口函数),但是分组窗口函数只支持窗口聚合 现在FlinkSql统一都是用的是Windowing TVFs(窗口表值函数),Windowing TVFs更符合 SQL 标准且更加强大…

[项目管理] 如何使用git客户端管理gitee的私有仓库

最近发现即使翻墙也无法g使用ithub了,需要把本地的项目搬迁到新的git托管平台。 gitee 是一个国内开源项目托管平台,是开源开发者、团队、个人进行 git 代码管理和协作的首选平台之一。本文将详细介绍如何向 gitee 提交私有项目。 注册 Gitee 账号并创建…

AD域国产替代方案,助力某金融企业麒麟信创电脑实现“真替真用”

近期收到不少企业客户反馈采购的信创PC电脑用不起来,影响信创改造的进度。例如,某金融企业积极响应国产化信创替代战略,购置了一批麒麟操作系统电脑。分发使用中发现了如下问题: • 当前麒麟操作系统电脑无法做到统一身份认证&…

K8S系列文章之 [使用 Alpine 搭建 k3s]

官方文档:K3s - 轻量级 Kubernetes | K3s 官方描述,可运行在 systemd 或者 openrc 环境上,那就往精简方向走,使用 alpine 做系统。与 RHEL、Debian 的区别,主要在防火墙侧;其他基础配置需求类似&#xff0…

jmeter的简单使用

1、打开jmeter 打开Jmeter 安装包,进入\bin 中,找到“ApacheJMeter.jar”或"jmeter.bat", 双击打开即可 2、建立线程组 如下图所示,右击TestPlan,点击ADD->Threads(Users)->ThreadGroup 线程组页面分析&#xf…

IS-IS 接口认证密码平滑更换

拓扑图 配置 AR1、AR2建立ISIS level-2邻居关系,并配置接口认证密码为huawei sysname AR1 # isis 1is-level level-2network-entity 49.0000.0000.0000.0001.00 # interface GigabitEthernet0/0/0ip address 12.1.1.1 255.255.255.0 isis enable 1isis authentica…

ThinkPHP 中使用Redis

环境.env [app] app_debug "1" app_trace ""[database] database "" hostname "127.0.0.1" hostport "" password "" prefix "ls_" username ""[redis] hostname "127.0.0.1…

【C语言】通过socket看系统调用过程

一、通过socket看系统调用过程 在Linux操作系统中,系统调用是用户空间与内核空间之间交互的一种方式。当一个应用程序需要执行操作系统级别的任务时,比如创建一个网络套接字(socket),它必须通过系统调用请求内核来执行…

SQL在云计算中的新角色:重新定义数据分析

文章目录 1. 云计算与数据分析的融合2. SQL在云计算中的新角色3. 分布式SQL查询引擎4. SQL-on-Hadoop解决方案5. SQL与其他数据分析工具的集成6. 实时数据分析与SQL7. SQL在云数据仓库中的角色8. 安全性与隐私保护9. SQL的未来展望《SQL数据分析实战(第2版&#xff…

Snipaste使用

今天推荐一款好用的截图、贴图软件工具,名字叫Snipaste,以下是官方介绍的截图 软件官方下载地址: Snipaste 下载 1、截图功能 2、标注 3、开发中的使用 有时候在开发中需要临时把一些任务规则信息,放在代码编辑器旁边进行参考&am…

蓝桥杯每日一解

可以看看a的ascii码为6532 而A为ascii码为65&#xff0c;大小写相差32位 #include <iostream>using namespace std; int main(){int n;cin >> n;char a;for (int i 1;i<n;i){while(scanf("%c",&a) ! EOF){//无限输入直到输入到空格if(a a || a …