靶场拓扑图

靶场环境分别为win2008、win7、win2012 win2008 (WEB):192.168.100.235 win7(域成员):10.10.10.201 win2012(域控):10.10.10.10

信息收集

首先使用nmap扫描win2008主机,查看开放服务 开放了weblogic服务,使用weblogic漏洞扫描脚本批量扫描,发现了该组件存在后台路径泄露、ssrf、反序列化等漏洞

漏洞利用

使用工具对CVE20192725进行利用,上传冰蝎马 连接上冰蝎后查看当前身份是管理员权限 开启msf监听 利用冰蝎将shell反弹给msf msf成功上线,getsystem无法提权 将shell派生给cs时又把weblogic服务打掉了,这里不太清楚原因,尝试cs作免杀处理,执行命令时也会被检测到,动态免杀又不太会 于是尝试msf直接上线 查找cve-2019-2725的洞 设置好参数后exploit,成功上线(手动点掉360)

提权

查看当前用户为管理员权限,尝试getsystem被360拦截 ps查看当前运行的进程,找到一个system权限的非系统关键组件的进程 通过进程注入成功拿到system权限

msf派生cs

将msf派生给cs,在cs创建一个新的监听器 在msf将session发送给cs: cs处以system权限成功上线: 关闭目标防火墙:

内网信息收集:

执行ipconfig /all,可以看到当前环境存在域,存在另一个10.10.10.0/24网段 查看域控: net group "domain controllers" /domain,发现域控为DC机 使用net group "domain computers" /domain  查看域中的其他主机名,发现另一台PC机 对内网存活ip和445端口进行探测: portscan 10.10.10.0/24 445 arp 50

那么到此为止我们得到了以下信息,内网共存在这三台机器且都开放了445端口: 10.10.10.10  DC(域控) 10.10.10.128 WEB(搭建weblogic服务的机器) 10.10.10.201 PC(内网某台主机)

获取当前机器hash 使用哈希传递拿到DC 对于另一台pc使用psexec没有成功,换成psexec_psh就成功了。请教了下大佬,这里可能有两种原因,第一种原因可能是因为防火墙限制了psexec但没有限制psexec_psh,第二种原因可能是cmd和powershell的环境不同,psexec使用的cmd版本的payload,而psexec_psh使用的powershell版本的payload 至此,三台靶机全部拿到system权限