红队靶机实战(2)
0x00 前言
[手动滑稽][手动滑稽] 一天一靶机 生活充实而有趣,打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。
0x01 环境搭建
至于网卡配置的话,可以直接看官方的讲解怎么去配,打靶机前要需要启动web服务,来到server 08 机器 也就是web的机器里面,进入目录
C:\Oracle\Middleware\user_projects\domains\base_domain
里面看到startWebLogic.bat脚本双击点开运行启动weblogic服务
启动后就可以开始下一步的渗透工作了,这里来启动时候要使用管理员的身份来启动,否则启动不了。
0x02 靶机渗透
192.168.111.0这个网卡是外网的,就直接对他进行扫描
nmap -Pn -sS -A 192.168.111.80
发现了7001端口开放,banner信息显示是weblogic的服务,weblogic在历史是爆出几个命令执行漏洞的,先来尝试一下存不存在命令执行漏洞,直接上weblogic scan来扫描
python3 WeblogicScan.py 192.168.111.80 7001
发现存在CVE-2019-2725,CVE-2017-3506
上github随便找了个CVE-2019-272的exp 来使用
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/ whoami
命令执行成功,使用命令上传webshell
python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/
这个exp里面自带了一些webshell
这里能执行命令成功 那么为了方便就直接使用pwoershell远程加载,无文件落地
成功上线,这里360居然不拦截,可能是因为断网的原因,那么下一步就可以直接来到内网环节了
0x02 内网渗透
先来做波信息收集,这里已经显示了是个管理员的权限,先来查询一下域用户
shell "net user /domain"
发现拒绝访问了 ,可能是因为权限是本地的管理员,而并不是域的管理员,这里显示拒绝访问证明没有权限,但是确实是在域环境里面
使用mimikztz抓取密码,然后进行重新的登录,发现还是一样的不行,域管理员无法查询到任何信息,既然不行的话就使用其他用户,查看进程的时候发现了有进程是以mssql的域用户进行登录的,对该进程进行进程注入
shell "net user /domain"
发现用这个用户有权限去查询,这点让我非常匪夷所思,那么就用这个账号进行查询
net user /domain
net group /domain
net group "Domain Admins " /domain
net group "Domain Controllers" /domain
net time /domain
ping 10.10.10.10
域控机器ip为 10.10.10.10
使用arp进行内网探测看看内网的机器
发现有3台机器
刚刚探测发现445端口都是开着的,直接用psexec smb之间的方式,来连接域控
这里能成功上线 再来抓取一下密码,然后再把pc拿下来
成功拿下
3台主机
0x03 结尾
这里因为也没看其他的能不能出网就使用了smb的直连过去,smb直连在内网渗透当中,是比较隐蔽的,也能很有效的去穿透防火墙,但是唯一的缺点就是如果父管道的机器掉了,其他的smb直连过去的机器也就掉了
原文地址:https://www.cnblogs.com/nice0e3/p/13056365.html
- 设计模式专题(四)——代理模式
- Array数组函数(一)
- ASP.NET AJAX(5)__JavaScript原生类型以及Microsoft AJAX Library什么是Microsoft AJAX LibraryObject原生类型Object.pro
- 使用 Octave 来学习 Machine Learning(一)
- ASP.NET AJAX(4)__客户端访问WebService服务器端释放WebService方法客户端访问WebService客户端访问PageMethod错误处理复杂数据类型使用基础客户端代理的
- 讲真,你该做备份的有效性校验了
- memcache安装方法
- 设计模式专题(五)——工厂方法模式
- ASP.NET AJAX(11)__ScriptManagerUpdatePanel的支持成员功能控制成员脚本控件支持成员ScriptMode和ScriptPathLoadScriptsBeforeU
- SQL Server 2016新特性:动态数据屏蔽(DDM)
- ASP.NET AJAX(12)__浏览器兼容功能判断浏览器的类型和版本Sys.Browser针对DOM元素的兼容操作针对DOM事件的兼容操作
- 设计模式专题(六)——原型模式
- ASP.NET AJAX(13)__利用Microsoft AJAX Library开发客户端组件Sys.Component成员Sys.IDisposable成员Sys.INotifyDisposin
- 设计模式专题(七)——建造者模式
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 【python-leetcode340-滑动窗口法】至多包含 K 个不同字符的最长子串
- 要不是真的喜欢学技术,谁会来爬小姐姐啊。
- springboot缓存之@CachePut注解
- springboot缓存之@Caching和@CacheConfig注解
- BERT源码分析(PART III)
- springboot之整合基本的jdbc并操作Mysql数据库
- springboot缓存之自定义CacheManager
- springboot缓存之使用redis作为缓存管理
- 【python-leetcode904-滑动窗口法】水果成篮
- 【python-leetcode03-滑动窗口法】无重复字符的最大子串
- 编程语言中的值数据类型和引用数据类型之间的区别
- c++之结构体
- c++结构体实例之按结构体中指定变量进行排序
- springboot消息之整合rabbitmq
- springboot消息之@RabbitListener和@EnableRabbit