一、环境搭建 1.1 靶场下载
靶场下载地址:
靶机通用密码: 1qaz@WSX
1.2 环境配置拓朴图
下载好靶机打开vmx文件即可,由于DMZ网段为192.168.111.0/24,所以需要将子网ip设置为192.168.111.0
DC:
IP:10.10.10.10
OS:Windows 2012
应用:AD域
WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去):
IP1:10.10.10.80
IP2:192.168.111.80
OS:Windows 2008
应用:Weblogic 10.3.6 MSSQL 2008
PC:
IP1:10.10.10.201
IP2:192.168.111.201
OS:Windows 7
攻击机:
IP:192.168.111.128
OS:Windows 10
IP:192.168.111.129
OS:Kali
内网网段:10.10.10.0/24
DMZ网段:192.168.111.0/24
先从WEB机开始,注意需要手动开启服务,在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,管理员身份运行它即可,管理员账号密码:Administrator/1qaz@WSX
WEB机和PC机:计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动
二、外网渗透拿到环境后,首先进行端口探测,这里使用-sS参数,由于防火墙的存在不能使用icmp包,所以使用syn包探测
通过扫描端口,我们通过端口初步判断目标机存在的服务及可能存在的漏洞,如445端口开放就意味着存smb服务,存在smb服务就可能存在ms17-010/端口溢出漏洞。开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞。开放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。开放3389端口,就存在远程桌面。开放7001端口就存在weblogic。
这里先看一下weblogic,直接使用 WeblogicScan 扫描一下可能存在的漏洞,工具地址:https://github.com/rabbitmask/WeblogicScan
命令:python3 WeblogicScan.py -u 192.168.111.80 -p 7001
使用 java 反序列化终极测试工具测试漏洞
上传冰蝎马,关于选择 webshell 上传路径问题,参考 https://www.cnblogs.com/sstfy/p/10350915.html
上传路径为:
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\5f6ebw\war\shell.jsp
冰蝎连接 :7001/uddiexplorer/shell.jsp
CS上线
CS派生MSF
右键->Access->Dump Hashes(需要Administrator权限)
右键->Access->Run Mimikatz