红日2渗透练习
靶场搭建
下载压缩包
下载好后导入虚拟机
然后配置网络
web机网络适配器设置为nat 和 仅主机
这里仅主机模式我自己设置的,10.10.10.0
对应内网机的ip
nat设置成192.168.131.0 对应外网
同理PC机也是一个nat 一个仅主机
然后DC就只有一个仅主机
这里就不过多展示。
然后我打开机子看看分配的IP
这三台虚拟主机默认开机密码都是:密码1qaz@WSX
登录web机
改IPV4
改为前面设置的
设置完
在设置PC机
再设置DC机
配置信息
DC
IP:10.10.10.10OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80IP2:192.168.131.80 OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201IP2:192.168.131.201 OS:Windows 7(32)
应用:
攻击机
IP:192.168.131.1 OS:Windows 10(64)
IP:192.168.131.131OS:Kali(64)
配置好后
打开web机
C:\Oracle\Middleware\user_projects\domains\base_domain\bin
以管理员身份启动这三个
网络拓扑图
信息收集
1.web信息收集
arp-scan -l
找到靶机IP
192.168.131.80
192.168.131.201
端口扫描
nmap -sS -sV -T5 -A -p- 192.168.131.80
可以看到 80 135 139 445 1433 3389 7001 好多高危端口都开着的
这里先访问一下80 http服务端口
啥都没有
再看看7001 weblogic服务端口
其实看到7001端口可以先上一下漏扫工具
但要是按照老三步的话可以接着目录扫描
那我这次就按常规三步来
目录扫描
没看到有用信息
那就上weblogic漏扫工具扫一下
可以执行命令
那就可以上传shell
先找到当前路径
出师不利。。。
上网搜poc
再手测一下
确定存在
漏洞利用
Weblogic反序列化远程命令执行(CVE-2019-2725)漏洞复现-含POC和EXP - 纸机 - 博客园 (cnblogs.com)
按照这篇文章来
确定路径
C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/
尝试了几种都比较麻烦也没成功
直接上msf把
不行总创建不了会话
写入木马
写入路径
C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war
访问 http://...:7001/项目名/shell.jsp
上传路径可以参考这篇文章:weblogic快速传jsp木马_jsp马上传文件-CSDN博客
我这里第一次上传怎么显示不出来
我换个路径
/root/Oracle/Middleware/wlserver_10.3/server/lib/consoleapp/webapp/framework/skins/wlsconsole/images/shell.php
访问 /console/framework/skins/wlsconsole/images/shell.php
确定上传成功
连接不上
上传jsp试试
多打了一个点 shell…jsp
连接成功
administrator权限
内网渗透
ipconfig /all
探测内网
可以确定内网网段为10.10.10.0/24
然后就可以上线CS或者msf
先新建一个用户尝远控它 因为前面看到3389端口是开放的
net user loki 123@qaz /add
net localgroup Administrators loki /add
创建用户 和加入管理员组
远程桌面
关闭防火墙
然后上传cs马
生成木马通过冰蝎文件管理上传
然后执行
然后可以看到cs成功上线
抓取密码
发现mssql的账号密码
提权
利用ms-058提权
获取到最高权限system
内网信息探测
这一🗡基本啥都出来了
我选几个重要的信息
可以发现已经探测到同网段下的网络
192.168.131.201
10.10.10.201
10.10.10.10
端口情况
上传的木马
启动的web服务
获取域信息
横向移动
没有的话自己添加因为前面已经获取到域内其他机器的ip了
然后横向移动
这里密码需要选择hash值的
抓取密码
前面已经探测到域控DCip 10.10.10.10
接着横向移动
一直卡住
但是这里也可以确定密码是对的
尝试一下远程桌面
不行
portscan 10.10.10.0/24
发现存在445那按理说可以用smb横向的。。
重新排查发现我他妈前面搞得监听不是smb的,,
那重新开一个
果然成功了。。。
那我前面横向成功PC是个偶然吗。。
到这就全拿下了
新建用户并加入管理组
添加注册表方式打开rdp端口
关闭防火墙
因为我们主机不能直接访问10.10.10.10(其实是可以的但是假装不可以
)做一下socks5:
然后在proxyfilter上添加这个就好了
然后就能远程桌面了
这里不展示了 做了好久累死了
转存中…(img-C3mWb6tt-1712578585089)]
[外链图片转存中…(img-JtrbYL8X-1712578585089)]
[外链图片转存中…(img-GUfFXl07-1712578585089)]
新建用户并加入管理组
[外链图片转存中…(img-i8vxqA4n-1712578585090)]
添加注册表方式打开rdp端口
关闭防火墙
[外链图片转存中…(img-oUN5XyMz-1712578585090)]
因为我们主机不能直接访问10.10.10.10(其实是可以的但是假装不可以
)做一下socks5:
[外链图片转存中…(img-oAn3tcnw-1712578585090)]
[外链图片转存中…(img-2m1pxtyY-1712578585090)]
然后在proxyfilter上添加这个就好了
然后就能远程桌面了
这里不展示了 做了好久累死了