标签：ck 实战 WEB 192.168 att 票据 https 10.10 权限

一、环境搭建

靶场下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

• DC

IP：10.10.10.10
OS：Windows 2012
应用：AD域

• WEB（初始的状态默认密码无法登录，切换用户 de1ay/1qaz@WSX 登录进去）

IP1：10.10.10.80
IP2：192.168.111.80
OS：Windows 2008
应用：Weblogic 10.3.6 MSSQL 2008

• PC

IP1：10.10.10.201
IP2：192.168.111.201
OS：Windows 7

• 攻击机

IP：192.168.111.130
OS：Windows 10
IP：192.168.111.135
OS：Kali

内网网段：10.10.10.0/24
DMZ网段：192.168.111.0/24

先从WEB机开始，注意需要手动开启服务，在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理，管理员身份运行它即可，管理员账号密码：Administrator/1qaz@WSX

WEB机和PC机：计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动（Computer Browser 一直自动关闭导致 net view 显示 6118 error 没能解决，在域信息收集时暂时关闭一下防火墙）

 

二、漏洞利用

2.1CVE-2019-2725

WEB机网站是 Weblogic 的容器，WebLogic Server 版本: 10.3.6.0

直接使用 WeblogicScan 扫描一下可能存在的漏洞，工具地址：https://github.com/rabbitmask/WeblogicScan

命令：python3 WeblogicScan.py 192.168.111.80 7001

可以发现控制台路径是 http://192.168.111.80:7001/console/login/LoginForm.jsp，可能存在 CVE-2019-2725、CVE-2019-2729

 

工具扫出的用户名密码无法登录后台，从 CVE-2019-2725 入手，反序列化漏洞是由 wls9-async 组件导致的，该组件默认开启，看一下是否存在该漏洞。

访问 http://192.168.111.80:7001/_async/AsyncResponseService

 

使用 java 反序列化终极测试工具测试漏洞，工具地址：https://kfire.net/220.html

 

2.2getshell

上传冰蝎马，关于选择 webshell 上传路径问题，参考 https://www.cnblogs.com/sstfy/p/10350915.html

上传路径为：C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp

 

冰蝎连接 http://192.168.111.80:7001/uddiexplorer/shell.jsp 

 

2.3cs木马

冰蝎右键上传 cs 木马并执行，WEB机成功上线。

 

三、内网渗透

3.1凭据存储

dump 密码

 

3.2提权

右键->Access->Elevate->ms14-058 提到 system 权限

 

3.3域信息收集

ipconfig /all，发现机器有双网卡，内网 10.10.10.1/24 网段，域控 ip 10.10.10.10

 

查询域名

 

查询域内主机

 

查询域内用户

 

查询域控为DC

 

查询域管理员

 

 

3.4psexec传递

psexec 是微软 pstools 工具包中最常用的一个工具，也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行，像 telnet 客户端一样。原理是基于IPC共享，所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。

利用 psexec 横向移动至DC，域控成功上线。

 

四、权限维持

4.1域控信息收集

在域控获得KRBTGT账户NTLM密码哈希和SID

 

4.2黄金票据利用

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心（KDC）证明用户已被其他域控制器认证。

黄金票据的条件要求：
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

原理这篇 https://www.freesion.com/article/6833306427/ 博客讲的很详细。

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限，上面已经获得域控的 system 权限了，还可以使用黄金票据做权限维持，当域控权限掉后，在通过域内其他任意机器伪造票据重新获取最高权限。

WEB机 Administrator 权限机器->右键->Access->Golden Ticket

 

五、总结

这篇主要是想熟悉 cs 操作，了解一些域渗透的流程。靶机还有很多可以利用学习的点，先忙完这阵期末，哪天再翻出来探索一下。萌新还在摸索中，如果有错误，欢迎师傅们批评指正。

 

 

 

参考：

http://www.heetian.com/info/656

https://www.geekby.xyz/2020/04/18/vulnstack-att-ck-2-ba-chang/

https://my.oschina.net/u/4349795/blog/3220366/print

标签：ck,实战,WEB,192.168,att,票据,https,10.10,权限
来源： https://www.cnblogs.com/bainianminguo/p/13255462.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。