红队靶机实战（2）

0x00 前言

[手动滑稽][手动滑稽] 一天一靶机生活充实而有趣，打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。

至于网卡配置的话，可以直接看官方的讲解怎么去配，打靶机前要需要启动web服务，来到server 08 机器也就是web的机器里面，进入目录

C:\Oracle\Middleware\user_projects\domains\base_domain

里面看到startWebLogic.bat脚本双击点开运行启动weblogic服务

启动后就可以开始下一步的渗透工作了，这里来启动时候要使用管理员的身份来启动，否则启动不了。

192.168.111.0这个网卡是外网的，就直接对他进行扫描

nmap -Pn -sS -A 192.168.111.80

发现了7001端口开放，banner信息显示是weblogic的服务，weblogic在历史是爆出几个命令执行漏洞的，先来尝试一下存不存在命令执行漏洞，直接上weblogic scan来扫描

python3 WeblogicScan.py 192.168.111.80 7001

发现存在CVE-2019-2725，CVE-2017-3506

上github随便找了个CVE-2019-272的exp 来使用

python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/ whoami

命令执行成功，使用命令上传webshell

python3 weblogic-2019-2725.py 10.3.6 http://192.168.111.80:7001/

这个exp里面自带了一些webshell

这里能执行命令成功那么为了方便就直接使用pwoershell远程加载，无文件落地

成功上线，这里360居然不拦截，可能是因为断网的原因，那么下一步就可以直接来到内网环节了

先来做波信息收集，这里已经显示了是个管理员的权限，先来查询一下域用户

shell "net user /domain"

发现拒绝访问了，可能是因为权限是本地的管理员，而并不是域的管理员，这里显示拒绝访问证明没有权限，但是确实是在域环境里面

使用mimikztz抓取密码，然后进行重新的登录，发现还是一样的不行，域管理员无法查询到任何信息，既然不行的话就使用其他用户，查看进程的时候发现了有进程是以mssql的域用户进行登录的，对该进程进行进程注入

shell "net user /domain"

发现用这个用户有权限去查询，这点让我非常匪夷所思，那么就用这个账号进行查询

net user /domain

net group /domain

net group "Domain Admins " /domain

net group "Domain Controllers" /domain

net time /domain

ping 10.10.10.10

域控机器ip为 10.10.10.10

使用arp进行内网探测看看内网的机器

发现有3台机器

刚刚探测发现445端口都是开着的，直接用psexec smb之间的方式，来连接域控

这里能成功上线再来抓取一下密码，然后再把pc拿下来

成功拿下

3台主机

这里因为也没看其他的能不能出网就使用了smb的直连过去，smb直连在内网渗透当中，是比较隐蔽的，也能很有效的去穿透防火墙，但是唯一的缺点就是如果父管道的机器掉了，其他的smb直连过去的机器也就掉了

原文地址：https://www.cnblogs.com/nice0e3/p/13056365.html