内网渗透靶场02----Weblogic反序列化+域渗透

这篇具有很好参考价值的文章主要介绍了内网渗透靶场02----Weblogic反序列化+域渗透。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

网络拓扑：

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

攻击机：
Kali:  192.168.111.129
Win10: 192.168.111.128
靶场基本配置：
    web服务器
        双网卡机器： 192.168.111.80（模拟外网）
                    10.10.10.80（模拟内网）
    域成员机器 WIN7PC
                192.168.111.201
                10.10.10.201
    域控DC：10.10.10.10

利用kscan工具，针对192.168.111.0/24 C段开展端口扫描，发现2台存活主机，具体如下图所示：

192.168.111.80 开放 80、445、3389、7001端口。

192.168.111.201 开放 3389、445端口

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

根据上述端口发放情况，首先尝试爆破192.168.111.80以及192.168.111.201 3389端口。无果，其原因是访问受限。

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

目前只能通过192.168.111.80开放的80，7001端口进行入手。直接访问80端口发现没什么可以利用的点，放弃。

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

7001通常是weblogic的默认端口，直接访问weblogic默认登录界面，

http://192.168.111.80:7001/console/login/LoginForm.jsp

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

通过访问weblogic登录页面可知，weblogic目前的版本是10.3.6.0，上网搜索当前weblogic版本历史上爆出过哪些漏洞？具体如下：

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

利用weblogic历史漏洞扫描工具--weblogicScanner工具进行批量扫描。

github地址：https://github.com/0xn0ne/weblogicsanner

发现weblogic 10.3.6.0版本存在的的历史漏洞，具体如下：

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

利用反序列化工具，直接梭哈CVE-2019-2725,上传哥斯拉木马，具体如下：

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

使用哥斯拉webshell管理工具连接webshell，whoami 现实当前是Administrator权限。

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

为了方便后续提权，内网横向渗透等，需要将shell上线到CS或者是MSF，本次我们选择上传Cobalt-strike木马，如下所示CS顺利上线。

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

由于目前获取的机器是Administrator权限，因此可以直接运行getsystem获取机器的system权限，到目前为止，机器192.168.111.80机器完全被控制，即获取了机器的system权限。具体如下

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

CS自带minikatzg工具，输入logonpasswords 实现对目标主机本地密码和哈希的读取，抓取到本机delay用户的明文密码以及域用户mssql的明文密码，具体如下：

WEB\delay:1qaz@WSX

DE1ay\mssql:1qaz@WSX

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

接下来进行域内信息收集：

收集域控机器

发现域控机器：10.10.10.10 内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

目前已收集到域内信息，域内主机存在3台机器，且域控为10.10.10.10

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

利用CS portscan功能，开展10.10.10.0/24 C段探测。

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

发现其余域内主机，10.10.10.201以及10.10.10.10（域控机器），截止目前为止

域内共计三台主机

10.10.10.80（已经获取其system权限）

10.10.10.201

10.10.10.10（域控）

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维后续的目标是如何拿下域控10.10.10.10 以及10.10.10.201的权限？

使用Zerologon漏洞攻击域控服务器

首先我们通过利用前期收集到的用户名\密码信息，RDP远程登录192.168.111.80web服务器。上传Mimikatz，运行mimikatz

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

通过上述可以看到存在Zerologon漏洞

执行命令针对域控服务器发其渗透测试

lsadump::zerologon /target:DC.de1ay.com /account:DC$ /exploit

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

运行mimikatz获取域控服务器的登录凭据，具体如下：

运行命令：
lsadump:: dcsync /domain:de1ay.com /dc:DC.de1ay.com /user:administrator /authuser:DC$ /authdomain:de1ay /authpassword:"" /authnt1m

成功获取域控服务器的Administrator用户的密码哈希值，利用MD5在线解密网站，可以获得Administrator明文密码为1qaz@WSX

获取域控用户名和密码之后，采取口令复用的方式实现内网传播。

具体步骤：view-Credentials，添加域控制器的登录凭证

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

执行psexec命令

内网渗透靶场02----Weblogic反序列化+域渗透,3.0 红队特训营,服务器,运维

未完待续>>>>>>文章来源地址https://www.toymoban.com/news/detail-827413.html

到了这里，关于内网渗透靶场02----Weblogic反序列化+域渗透的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

Toy模板网

内网渗透靶场02----Weblogic反序列化+域渗透

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

支付宝扫一扫领取红包，优惠每天领

二维码1

二维码2