一.搭建vulnstack靶场环境
主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址:
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
这个靶场是三个目标,一个web服务器,PC机和最后的域控,然后web服务器添加一块网卡,一个nat模式,相当于处于外网中,另一个为仅主机模式,PC也是两块,一样的配置,而DC则仅主机模式,只能内网访问,这些下载好镜像已经提前配置好了,下来我们就是打开,关于靶场统一登录密码:1qaz@WSX
连接外网的地址选择完nat模式后还需自己把网络设置成自动获取ip地址,然后开启web服务器的weblogic服务,C:\Oracle\Middleware\user_projects\domains\base_domain\bin下有一个startWeblogic的批处理,管理员身份运行它即可,管理员账号密码:Administrator/1qaz@WSX
二.开始内网渗透
先使用arp-scan -l扫描局域网,134和135属实有点显眼
然后我们使用nmap扫描这俩台计算机的详细信息
可以看到结果是一台win7,一台是win2008,并且这两台机器都在一个名字为de1ay.com的域内,在win7上开放了445和3389端口,我们可以考虑看看对方是不是有系统漏洞,而在win2008上除了445,3389之外,还有一个7001端口开启着weblogic服务,版本是Oracle
10.3.6.0,我们可以看看这个版本的weblogic是否有可利用得漏洞,直接使用WeblogicScan这个工具进行扫描,扫描结果发现有一个cve漏洞
我们查看msf中是否有这个的exp进行利用
跑起来没有成功,发现payload都是unix的,我们查看其他的漏洞,使用(CVE-2017-3506)Weblogic反序列化漏洞exp,上传一句话
可以发现上传成功,但是因为我们是冰蝎的木马,命令传输之间会进行加密,所以不能直接用password和cmd使用,我们用冰蝎的加载器连接,然后加载不成功,最后发现他这个上传木马是用自己木马的,直接用他自带的木马进行连接,发现我们可以执行一些简单的命令
但是一旦执行net user靶机的360就开始警报了,这条路也不行,下来下载网上的JAVA反序列化工具开始使用,检查目标发现有CVE-2017-10271漏洞,我们进行文件上传,使用冰蝎木马
上传成功,查看冰蝎
我们下来就是利用冰蝎反弹msf的shell来连接目标机器了
我们已经连接上了,然后就是提权,但是发现不行,咱们这个通过冰蝎的是java马,得换一下,通过冰蝎上传咱们已经做过免杀的cs的系统后门马,然后用msf上线真正的cs的木马,
好了,现在已经上线成功,并且不止静态免杀,在执行操作中,动态也免杀
通过cs的加载猕猴桃功能抓取账号密码,然后知道了当前Administrator的账号密码为Administrator/1qaz@WSX,想使用提权,但是提权的话360会报错,于是想着使用cs把会话转发到msf,使用msf来提权,但是提权没有成功
另外,因为使用net view可能因为防火墙无法正常使用,所以我们通过扫描10段的内网端口进行探测目标,然后发现这个内网当中一共三台主机
10为域控,80为web,201为之前扫描的win7系统的pc,然后我们使用cs的psexec来使用刚才抓取的账号密码进行传递
然后域控成功上线而且还是system权限
三.总结
这次主要学习了反杀软后门,从刚开始,其实weblogic有很多的漏洞,但是都是因为杀软而打不进去,最后还是看网上的大神才用这个漏洞打进去的,后来冰蝎的Java连接还是可以的,自带免杀效果,但是操作起来不太方便,于是想用exe木马,下来就是搞了两天的免杀木马,看了网上大部分文章,最后使用的是cs生成的c语言payload然后用go语言重新编译了下绕过了360,但是实战效果的话有点差,因为他在执行的时候是弹黑窗,还不能关掉,所以这如果在实战中用的话估计只能半夜了,下来还需要看看免杀文章,做一个效果更好的
855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
