访问拿到的ip,发现是某公司的OA系统,先扫描开放端口
这里使用shodan的插件直接看发现开放了7001端口
访问目标存在weblogic服务,http://18X.XX.XX.XXX:7001
使用weblogic利用工具扫描漏洞
发现存在漏洞,疑似存在域环境 当前账户 域\admin
执行wmic COMPUTERSYSTEM get domain,workgroup && wmic os get name && ipconfig /all && tasklist /svc && ping 8.8.8.8
查看是否在域内、当前操作系统版本、网络信息、当前进程(杀软识别)、出网检测
通过以上信息,可以判断机器为Server2012在域内、IP为192.168.0.1、存在Padvish AV杀软、机器出网
此处有杀软,无法powershell直接上线,可以先上传一个webshell方便后续操作;
找到web目录 哥斯拉生成jsp的webshell
使用工具写入E:\bea\user_projects\domains\oadomain\servers\oaserver\tmp_WL_internal\uddiexplorer\uhy035\war
备注:weblogic部署war包是在domains\oadomain\servers\oaserver\tmp_WL_internal\uddiexplorer下的一个随机6位字符的目录下并不固定,需要手动查找
要成功上线CS需要对beacon做免杀处理
使用CS的Attacks→Packaes→Windows Executables(s)→outpub选择raw 生成原始的64位shellcode
加密shellcode
将加载器和加密后的shellcode上传到目标系统
机器上线,发现并不是管理员权限无法dumphash
net user admin /domain 查询当前用户在域内的权限,发现是域管理员权限
由于上线时为低令牌账户,token不完整,尝试提权和信息收集
首先信息收集
portscan 192.168.0.0-192.168.0.255 135,445,80,8080,7001,3389 none 1024
扫描内网主机
或者使用fscan扫描(扫描速度更快 顺带检测出MS17-010)
提升权限 使用CS自带的UAC提权
提升为高令牌的admin*
此时hashdump还是无法dump,尝试注入到本机上登录的域管理员administrator用户进程,成功注入(如果还不成功考虑sc创建服务[sc默认以system权限启动])
使用域管理员administrator进程进行dump
成功获取hash
mimikatz's lsadump::dcsync /domain:xxx /user:krbtgt
获取krbtgt的hash 便于后期制作金票据
在收集密码的时候发现域环境比较旧 尝试GPO组策略密码查找 发现组策略中配置的密码明文 结合net user发现修改日期过旧 判定不具备参考价值
提取浏览器相关的信息 这里使用QAX-A-Team的BrowserGhost工具
没有明显的可以利用的凭证
使用一键pth检测工具测试当前网段可以pth的机器
wmic可以执行命令:
上传beacon到对方机器,wmic远程执行上线
使用browerghost获取chrome密码历史记录
通过上述获取到了:
曾经的密码:Javanrud2815
其他用户 :
krbtgt的hash:7209066859041b4da12d5a28036f6751
sarshin、alan域用户的密码:123
以及部分内网系统的登录密码
至此,本次渗透完成。