| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 红日靶机vulnstack第二关 -> 正文阅读 |
|
[网络协议]红日靶机vulnstack第二关 |
环境配置下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
默认密码有:
使用管理员账号登录WEB.de1ay.com,然后在以下的路径中开启图中的三个服务,开启web服务。 然后需要关闭防火墙,我这里没有关闭的时候连ping都ping不通。 外网信息收集使用nmap扫描192.168.111.0网段
对上面收集到的信息进行集中
发现80主机存在80端口和7001端口,然后先对80进行访问,发现是一个空页面 然后对7001端口进行访问,发现是一个404页面 对80、7001端口进行目录扫描,因为这两个都是有可能是web端口。经过扫描后发现80没有什么有价值的,然后7001端口存在console端口。 对console进行登录,发现是一个weblogic登录页面。 使用weblogicScanner扫描工具(该工具比WeblogicScan工具所能扫描到的漏洞更多)进行扫描
对输出的json文件放到JSON在线视图查看器进行查看,发现存在许多漏洞。 除了使用上面的weblogic工具外,还可以使用一款集合了weblogic的集成工具进行漏洞的探测。
并且发现这里检测到的漏洞比上面扫描到的漏洞要少很多,只有一个CVE-2020-2551。 漏洞整理整理下上面得到的三个洞的信息。
外网漏洞利用一、CVE-2014-4210(SSRF漏洞,失败)
二、CVE-2017-3506(weblogic wls-wsat组件远程命令执行,成功且可以拿下webshell)
三、CVE-2017-10271(weblogic wls组件远程命令执行漏洞,成功且可以拿下webshell)
四、CVE-2018-3191(weblogic远程代码执行漏洞,失败)
五、CVE-2018-3245(weblogic反序列化远程代码执行漏洞,失败)
六、CVE-2019-2618(weblogic任意文件上传漏洞,成功且可以拿下webshell)
七、CVE-2019-2725(weblogic反序列化远程命令执行漏洞,成功且可以拿下webshell)
八、CVE-2019-2729(weblogic反序列化漏洞命令执行漏洞,和CVE-2019-2725类似)
九、CVE-2019-2888(weblogic未受权XXE漏洞,失败)会用到的工具:
十、CVE-2020-2551(weblogic IIOP反序列化漏洞,失败)
十一、CVE-2020-2883(weblogic反序列化)
十二、CVE-2020-14882(weblogic未授权命令执行漏洞,失败)
漏洞总结在这十二个漏洞中,能直接拿下webshell的有CVE-2017-3506、CVE-2017-10271、CVE-2019-2618、CVE-2019-2725、CVE-2019-2729有这五个漏洞。下面就不演示如何webshell了,考虑到在实战中是没有上帝视角的,因此只考虑 CVE-2017-10271 ,而不考虑和第六个洞:CVE-2019-2618 类似的需要web目录的的情况。 内网进程注入在拿到webshell后,第一步要查看进程列表,要将MSF的进程注入到explorer.exe中,因为该进程一般不会被关闭。 使用migrate命令注入到explorer.exe进程中 MSF和CS联动创建CS监听器,具体的配置如图所示
注入下进程,防止被杀掉
CS和MSF联动首先CS要生成一个外部的监听器(Foreign HTTP/HTTPS) MSF使用和刚生成监听器一样的监听模块
然后在CS中新建会话,选择刚生成的监听器 回到MSF中查看,发现联动成功 信息收集1.查看杀软信息我这里使用梼杌插件查看,发现存在一个360和另外两个杀软。 2.收集内外网信息首先是收集有多少个网段,这里发现有两个,一个是10.10.10.80,还有一个是192.168.111.80。
还可以使用梼杌插件进行一键获取所有的信息 使用梼杌插件中的查看所有用户的sid,具体操作是梼杌->信息收集->查看mstsc记录->查看所有用户的记录 使用梼杌中的Mimikatz获取明文密码
使用MSF挂socks代理,进行内网的端口扫描
使用nmap扫描,但是发现扫描的结果并不符合实际情况,他这里的扫描结果没有一个是开放的,这不符合实际情况。 使用CS自带的扫描,具体的的操作是:视图->目标列表->目标列表中的主机右击选择扫描,选择所得到的会话,然后点击运行 这里列举下其中的DC端口扫描的结果,查看具体的结果是右击选择服务,其余两台主机的操作一样 横向移动psexec使用psexec进行横向移动,横向移动的前提是需要获取到NTLM值,然后点击视图->目标列表->DC右键->横向移动->psexec->选择其中的一个user、password、DE1AY,随便选择一个监听器和会话。 拿下域控DC了 同样的流程,我们可以如法炮制拿下PC机 权限维持黄金票据黄金票据需要域成员名、域成员密码、域控地址(10.10.10.10)、域sid、krbtgt哈希值,其中krbtgt哈希值是要拿到域控之后在域控里面才能拿到的,因此黄金票据是只能在拿到域控之后的权限维持操作。 首先在域控里面运行hashdump命令获取krbtgt的哈希值 在DC右键生成黄金票据,输入所需要的数据。 生成黄金票据成功 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 21:58:12- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |