内网渗透靶场02----Weblogic反序列化+域渗透

 网络拓扑:

        

攻击机:
Kali:  192.168.111.129
Win10: 192.168.111.128
靶场基本配置:web服务器双网卡机器: 192.168.111.80(模拟外网)10.10.10.80(模拟内网)域成员机器 WIN7PC192.168.111.20110.10.10.201域控DC:10.10.10.10

        利用kscan工具,针对192.168.111.0/24 C段开展端口扫描,发现2台存活主机,具体如下图所示:

                192.168.111.80  开放 80、445、3389、7001端口。

                192.168.111.201 开放 3389、445端口

根据上述端口发放情况,首先尝试爆破192.168.111.80以及192.168.111.201  3389端口。无果,其原因是访问受限。

目前只能通过192.168.111.80开放的80,7001端口进行入手。直接访问80端口发现没什么可以利用的点,放弃。

7001通常是weblogic的默认端口,直接访问weblogic默认登录界面,

http://192.168.111.80:7001/console/login/LoginForm.jsp

通过访问weblogic登录页面可知,weblogic目前的版本是10.3.6.0,上网搜索当前weblogic版本历史上爆出过哪些漏洞?具体如下:

利用weblogic历史漏洞扫描工具--weblogicScanner工具进行批量扫描。

github地址:https://github.com/0xn0ne/weblogicsanner

 发现weblogic 10.3.6.0版本存在的的历史漏洞,具体如下:

利用反序列化工具,直接梭哈CVE-2019-2725,上传哥斯拉木马,具体如下:

使用哥斯拉webshell管理工具连接webshell,whoami 现实当前是Administrator权限。

为了方便后续提权,内网横向渗透等,需要将shell上线到CS或者是MSF,本次我们选择上传Cobalt-strike木马,如下所示CS顺利上线。

由于目前获取的机器是Administrator权限,因此可以直接运行getsystem获取机器的system权限,到目前为止,机器192.168.111.80机器完全被控制,即获取了机器的system权限。具体如下

CS自带minikatzg工具,输入logonpasswords 实现对目标主机本地密码和哈希的读取,抓取到本机delay用户的明文密码以及域用户mssql的明文密码,具体如下:

WEB\delay:1qaz@WSX

DE1ay\mssql:1qaz@WSX

接下来进行域内信息收集:

收集域控机器

发现域控机器:10.10.10.10  

目前已收集到域内信息,域内主机存在3台机器,且域控为10.10.10.10

利用CS portscan功能,开展10.10.10.0/24 C段探测。

发现其余域内主机,10.10.10.201以及10.10.10.10(域控机器),截止目前为止

域内共计三台主机

        10.10.10.80(已经获取其system权限)

        10.10.10.201

        10.10.10.10(域控)

后续 的目标是如何拿下域控10.10.10.10 以及10.10.10.201的权限?

使用Zerologon漏洞攻击域控服务器

首先我们通过利用前期收集到的用户名\密码信息,RDP远程登录192.168.111.80web服务器。上传Mimikatz,运行mimikatz

通过上述可以看到存在Zerologon漏洞

执行命令针对域控服务器发其渗透测试

lsadump::zerologon /target:DC.de1ay.com /account:DC$ /exploit

运行mimikatz获取域控服务器的登录凭据,具体如下:

运行命令:
lsadump:: dcsync /domain:de1ay.com /dc:DC.de1ay.com /user:administrator /authuser:DC$ /authdomain:de1ay /authpassword:"" /authnt1m

成功获取域控服务器的Administrator用户的密码哈希值,利用MD5在线解密网站,可以获得Administrator明文密码为1qaz@WSX

获取域控用户名和密码之后,采取口令复用的方式实现内网传播。

具体步骤:view-Credentials,添加域控制器的登录凭证

执行psexec命令

未完待续>>>>>>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/675448.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

todolist的五种写法(原生、vue2、vue3、react类组件,react函数组件)

1. js、vue2、vue3、react类组件、react函数组件的特性 1.1 JavaScript(JS)特性 弱类型:JavaScript是一种弱类型语言,变量的类型可以在运行时动态改变。基于原型的面向对象:JavaScript使用原型链来实现面向对象编程。…

第59讲订单数据下拉实现

import com.baomidou.mybatisplus.extension.plugins.pagination.Page;/*** 订单查询 type值 0 全部订单 1待付款 2 待收货 3 退款/退货* param type* return*/RequestMapping("/list")public R list(Integer type,Integer page,Integer pageSize){System.out.pri…

【C#】Xasset加载资源模块

分享一下之前接Xasset的模块Code【仅用于业务参考】 using System; using System.Collections.Generic; using System.IO; using Common; using Cysharp.Threading.Tasks; using UnityEngine; using xasset; using xasset.example; using Logger xasset.Logger; using Object…

Vue-57、Vue技术路由的参数如何传递

query参数传递 1、传递参数 <!-- 跳转路由并携带query参数&#xff0c;to的字符串写法--> <router-link :to"/home/message/detail?id${p.id}&title${p.title}"> {{p.title}} </router-link><!-- 跳转路由…

ElasticSearch 8.x 使用 High Level Client 以 HTTPS 方式链接,SSL 证书、主机名验证器 各是什么,如何忽略

ElasticSearch 1、ElasticSearch学习随笔之基础介绍 2、ElasticSearch学习随笔之简单操作 3、ElasticSearch学习随笔之java api 操作 4、ElasticSearch学习随笔之SpringBoot Starter 操作 5、ElasticSearch学习随笔之嵌套操作 6、ElasticSearch学习随笔之分词算法 7、ElasticS…

人工智能之线性优化和非线性优化

如果目标函数或者约束函数中存在非线性函数,此类问题称为非线性优化。 线性优化 在一组线性的等式或不等式约束下,求一个线性函数的最小值,此类问题的数学模型如下: m i n c x s . t . { A x ≤ b x ≥ 0 min\quad cx \\ \\ s.t. \begin{cases} Ax\leq b \\ \\ x\geq0 \…

基金是什么

一、基金是什么&#xff1f; 买基金就是委托别人帮我们投资&#xff0c;替我们买卖股票债券。 二、为什么委托别人&#xff1f; 因为我们不懂投资方面的知识&#xff0c;或者我们没有时间来做投资&#xff0c;那么就可以找专业人士帮我们投资。就像家长帮小孩报辅导班&#…

[幻灯片]分析设计高阶-02-领域建模结构部分Part1

DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 如何选择UMLChina服务 UMLChina公众号精选&#xff08;20240207更新&#xff09;

四、机器学习基础概念介绍

四、机器学习基础概念介绍 1_机器学习基础概念机器学习分类1.1 有监督学习1.2 无监督学习 2_有监督机器学习—常见评估方法数据集的划分2.1 留出法2.2 校验验证法&#xff08;重点方法&#xff09;简单交叉验证K折交叉验证&#xff08;单独流出测试集&#xff09;&#xff08;常…

大数据思考:面对海量数据时,选择哪种模式才是更适合自己的?

如果您从事科技行业或者您不在这个行业&#xff0c;也许您已经听说过很多关于 AI 的信息。 我所说的不仅仅是多年来我们都喜欢的科幻小说中“天网正在接管地球”式的人工智能&#xff0c;而是人工智能和机器学习已经逐渐成为我们日常生活中的实际应用 . 大数据是人工智能与机器…

PCIE 参考时钟架构

一、PCIe架构组件 首先先看下PCIE架构组件&#xff0c;下图中主要包括&#xff1a; ROOT COMPLEX (RC) (CPU); PCIE PCI/PCI-X Bridge; PCIE SWITCH; PCIE ENDPOINT (EP) (pcie设备); BUFFER; 各个器件的时钟来源都是由100MHz经过Buffer后提供。一个PCIE树上最多可以有256…

Android Studio中打开文件管理器

文章目录 一、前言二、操作步骤 一、前言 在Android Studio中有时候需要查看手机的文件目录或者复制文件&#xff0c;但是有时候文件管理器找不到在哪&#xff0c;这里记录该操作流程 二、操作步骤 第一步: 第二步: 第三步:

云游戏发行需要哪些条件

云游戏是一种创新性的游戏服务模式&#xff0c;将游戏运算和渲染等处理任务移至云端服务器&#xff0c;通过互联网实时传输画面和操作指令&#xff0c;使玩家能够在低端终端设备上也能流畅玩游戏。要做云游戏发行&#xff0c;需要考虑一系列条件&#xff0c;包括技术、基础设施…

Qt未来市场洞察

跨平台开发&#xff1a;Qt作为一种跨平台的开发框架&#xff0c;具有良好的适应性和灵活性&#xff0c;未来将继续受到广泛应用。随着多设备和多平台应用的增加&#xff0c;Qt的前景在跨平台开发领域将更加广阔。 物联网应用&#xff1a;由于Qt对嵌入式系统和物联网应用的良好支…

Ubuntu 18.04上安装cuDNN 8.9.6.50:一站式指南

Content 一、前言二、准备工作三、安装步骤1. 启用本地仓库2. 导入CUDA GPG密钥3. 更新仓库元数据4. 安装运行时库5. 安装开发者库6. 安装代码示例7. 另外一种安装办法 四、验证安装1. 验证cuDNN版本2. 测试示例代码 五、总结 一、前言 在深度学习领域&#xff0c;高效的计算资…

通过Demo学WPF—数据绑定(二)

准备 今天学习的Demo是Data Binding中的Linq&#xff1a; 创建一个空白解决方案&#xff0c;然后添加现有项目&#xff0c;选择Linq&#xff0c;解决方案如下所示&#xff1a; 查看这个Demo的效果&#xff1a; 开始学习这个Demo xaml部分 查看MainWindow.xaml&#xff1a; …

【Java八股面试系列】JVM-常见参数设置

目录 堆内存相关 显式指定堆内存–Xms和-Xmx 显式新生代内存(Young Generation) 显式指定永久代/元空间的大小 垃圾收集相关 垃圾回收器 GC 日志记录 处理 OOM JDK监控和故障处理工具总结 堆内存相关 Java 虚拟机所管理的内存中最大的一块&#xff0c;Java 堆是所有线…

【嵌入式-传感器】从旋转编码器到学会看懂方波

背景&#xff1a; 在学习STM32F103的中断时&#xff0c;用到旋转编码器&#xff0c;需要通过旋转编码器输出的DO信号&#xff0c;获取旋转的刻度和方向。 前提知识&#xff1a; 使用中断需要RCC使能GPIO外设口及AFIO口、初始化GPIO、中断引脚AFIO选择配置、EXTI外部中断配置…

第62讲商品搜索动态实现以及性能优化

商品搜索后端动态获取数据 后端动态获取数据&#xff1a; /*** 商品搜索* param q* return*/GetMapping("/search")public R search(String q){List<Product> productList productService.list(new QueryWrapper<Product>().like("name", q)…

SpringMVC 1.请求参数检查 2.全局异常处理 3.请求参数封装为Pojo

ErrorEnum.java // 枚举所有的错误 package com.example.demo.enums;import lombok.Getter;public enum ErrorEnum {SYSTEM_ERROR(-1, "系统错误"),PARAM_ERROR(-2, "参数错误"),OK(0, "成功"),;Getterprivate final int code;Getterprivate fi…