下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
web靶机需要恢复到快照3,然后登陆时切换用户为:WEB\de1ay 密码:1qaz@WSX,这样后续还有提权步骤,进入目录C:\Oracle\Middleware\user_projects\domains\base_domain,运行startweblogic服务
然后我将虚拟机nat网段设置成了和web靶机一样的192.168.111.0/24,然后让web靶机改为自动获取ip,就可以出网了
配置信息:
DC
IP:10.10.10.10 OS:Windows 2012(64)
应用:AD域
WEB
IP1:10.10.10.80 IP2:192.168.111.4 OS:Windows 2008(64)
应用:Weblogic 10.3.6MSSQL 2008
PC
IP1:10.10.10.201 IP2:192.168.111.5 OS:Windows 7(32)
直接pingweb主机发现ping不同,可能是防火墙的问题,nmap用SYN做全端口扫描nmap -sS -Pn -p1-65535 192.168.111.4 Pn为不发送icmp包
逐一尝试每个端口,最后在7001端口发现有内容,扫描一下路径
看一下login这个路径,发现是WebLogic Server 版本: 10.3.6.0
直接搜索一下该版本漏洞,发现存在CVE-2019-2725,本来想直接msf用这个CVE去打,但是发现有360
然后在网上找了个可以利用这个CVE的工具,下载地址:https://github.com/shack2/javaserializetools
然后上传了个冰蝎自带的jsp木马
然后冰蝎成功上线
然后CS设置好监听后直接弹给CS,但是360又给干碎了
这里试了很久,要么就是被360拦截,要么就是无法联动,tnnd,直接物理黑客把360关了(主要是我的虚拟机出忘了,360自动更新了,太菜了shellcode免杀技术不过关)
然后派生给cs,cs成功上线
提权直接使用MS14-058提权,我通过msf直接提不成功,用的以下工具:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-058
发现可以提权后,用cs生成一段powershell上线脚本,然后运行Win64.exe "powershell脚本内容",这样就可以上线cs啦
上线后再派生到msf方便结合进行内网信息收集,这里也可以再多进行下权限维护
CS获取凭据信息
msf查看下域控、域成员等
msf自动建立并查看路由
利用web靶机作为跳板,用msf对内网实时扫描探测,发现了内网主机ip(前面已经知道了10.10.10.10是域控,接下来对域控进行探测)
使用nmap挂上代理对其进行扫描(有点慢)
或者直接使用cs来扫描也是一样的portscan 10.10.10.0/24,内网存活主机探测加端口扫描
扫描结果就是都开启了445和3389
先用永恒之蓝试试域控呢过不能拿下,msf扫描一下看是否存在漏洞,结果显示存在
但是问题是一直没有会话返回,没办法换条路走,用psexec.exe来实现域横向,这里因为是win server 2008的缘故,正好是可以直接抓到明文密码的,直接拿抓到的明文密码试一试(后面都没图了,忘了截)
上传psexec.exe到web靶机,然后因为DC靶机开启了139,445端口,尝试在web靶机上IPC$连一下DC,发现可以连接成功
这时使用psexec获取到DC的system权限就好了
PsExec.exe -accepteula \\DC -s cmd.exe
接下来就需要让DC上线CS,方便后续操作,通过web靶机在cs设置一个中转监听,然后生成该监听器的payload
将payload上传到web靶机,在通过IPC$共享复制到DC靶机上
system权限运行,CS成功上线DC域控靶机,然后我可以用打域控同样的方式拿下PC靶机
因为上面的内网渗透方式是直接打的,有许多不足,后面复盘的时候有尝试勒几种不同的方式,不过因为没截图,所以接来下就都用文字说明了~
上面我是直接手动把杀软关了,后面发现除了做免杀还是有办法的(主要做了好久发现还是过不了360,太菜了)
获取webshell后上传MS14-058.exe的提权工具(我做了简单的免杀后这个没有被360杀掉,msf的shellcode是怎么都被杀),然后上传procdump.exe,用该提权工具以system权限运行procdump.exe -accepteula -ma lsass.exe lsass.dmp导出lsass信息,然后下载到本地,用mimikatz离线获取到管理员明文密码(其实这么简单的密码NTLM Hash爆破也出来了)
有了明文密码之后,因为第一次扫描就发现开了3389,直接3389登录管理员身份远程桌面,手动关掉杀软就行,PC靶机也可使用此方式,不过要先搭建socks代理用web靶机将流量转发出来才可以连接到PC的RDP
ps:这里我后续还测试了msf的killav以及强制taskkill /PID /F等,都是关不掉的,只能手动点击关闭,或者师傅们有别的办法可以传授我~
之前我是直接用psexec.exe通过明文密码的方式横向移动的,但是psexec这个工具并不好,会产生大量日志
这里我们用wmic.py工具先进行PTH攻击,然后用ipc$的方式连接域控,上传shellcode(因为域控没有杀软),或者是
或者我们可以用PTT的方式,利用ms14-068漏洞,执行下面命令获得可以访问域控的票据,再把票据注入内存
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
ps:这里顺便想说一下我在域内比如要用impacket包里的python脚本工具怎么办,比如wmic.py,因为想web靶机没有Python环境,只能将流量代理出来,cs的socks4a速度慢得很,msf的socks代理我感觉总是有有问题,所以还是自己上传frp或ew这种手动建立socks5要快一些
我一般使用frp,frp建立socks5代理只需要修改frpc.ini即可(新get到的,之前都是用ew)
frpc.ini配置:
[common]
server_addr = 服务器IP
server_port = 7778
[sock5]
type = tcp
remote_port =8111
plugin = socks5
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server
在MRIRuby中我可以这样做:deftransferinternal_server=self.init_serverpid=forkdointernal_server.runend#Maketheserverprocessrunindependently.Process.detach(pid)internal_client=self.init_client#Dootherstuffwithconnectingtointernal_server...internal_client.post('somedata')ensure#KillserverProcess.kill('KILL',