JBoss的引起的内网渗透-2

2018-03-15 19:51:12 32 2795

说明: 本文中有个错误的概念验证,在判断域管理员的时候不能这么判断的,是不合理的。主要原因是在实操的时候,刚好能够使用Administrator用户密码登陆域,所以文章中就这么下结论了。这只是一个小概率事件,不成定律。

切入点

Jboss的反序列化漏洞,接下来看站点信息

正常来说这个admin-console及web-console/都是能正常访问的,就算不能正常访问也不会是404状态 ,所以为了搞清楚原因,去翻了其目录,进行对比。发现

server\default\deploy  #默认部署war目录
server\web\deploy  # 部署war相对应的编译生成目录

两个目录中,在\web\deploy\中缺少了admin-console和web-console,所以原因是:管理员在安装了JBoss后,为了安全起见,就在server\web\deploy删除了admin-console.war和web-console.war,所以在部署目录下是存在war包,但是编译目录下是不存在的。 所以接下来就进行常规的war部署,发现war已经上传上去了,但是访问出现404,所以跑去server\web\deploy查看,发现是没有生成相对应的文件夹,原因暂时未知。 所以就直接将jsp脚本上传到了jmx-console.war当中,成功获取WebShell

server\default\deploy\jmx-console.war\  # 上传访问失败
server\web\deploy\jmx-console.war\  # 上传访问成功

信息收集

接下来又是常规的信息收集

发现在菜刀里面执行命令,多数都是超时状态,所以还是回到之前的工具进行执行或是上传个命令执行马或是用web访问马。

进程里面是存在avguard.exe,所以需要做免杀。系统是windows xp-x86

在查看环境变量的时候发现是存在powershell的,但是没起作用。

net user #查看本机用户
-------------------------------------------------------------------------------
Administrator            Guest                    HelpAssistant            
postgres                 saverio                  SUPPORT_388945a0   
net group "domain admins" /domain  #查看域管理员
-------------------------------------------------------------------------------
Administrator            bckagent                 dbagent                  
faxmaker                 idsmessina               lattuca                  
SpaceGuardSvcAccnt       trovato                  VMwareVDPBackupUser   

net group "domain controllers" /domain  #查看域控制器
-------------------------------------------------------------------------------
DOMAIN1$                 DOMAIN2$    
域用户就不列举了,实在有些多

信息收集到这里,就有些蹊跷,因为本机用户里面,除了Administrator存在于域用户中,其余的账户均不见,所以这里能直接判断Administrator就是域管理员

综合以上信息:

DOMAIN2 - 192.168.20.10 # 域控制器
PROTRIBUTCT -Administrator # 域管理员
avguard.exe # 小红伞杀软
powershell # 不可用

小小免杀

续上次的shellter免杀,是过不了小红伞的,所以,这种时候,该储备的东西就起作用了。

生成一个Metasploit的马,去Virustotal做免杀测试,是过了AVG的,所以尝试一波。但是,生成的exe在windows 7下面是能正常执行的,但是到了xp上面就不行了。

用Veil生成个吧,安装Veil也是个大坑,图就不放了。

横向内网

接下来思路就很明确了。将PROTRIBUTCT的密码dump下来,幸运的话整个域就能拿下来了。

至此,这个域已经拿下,比上篇难度相对来说要小一些。

还有一个点,就是在查看域控的时候发现是有两台的,也是一样的登陆方式进行登陆即可。但是在这两台域控执行net view /domain:xxxxx结果都是不一样的,这也许就是两台域控的缘故吧。但是DOMAIN1所在的段只能通过DOMAIN2出来,其他机器做跳板均没数据,或许这是玄学了吧。

至此,整个测试流程就结束了。整个过程有点顺利,不是我发blog的初衷。

首发于个人博客自评TCV:2

关于作者

评论32次

要评论?请先  登录  或  注册
  • 32楼
    2018-4-8 23:06

    当年刷wooyun用过不少jboss和weblogic

  • 31楼
    2018-4-7 14:50
    elynelin

    是怎么上传jsp脚本上传到了jmx-console.war当中的?有点跳。

    1

    不跳的。就热部署,

  • 30楼
    2018-4-7 14:49
    Shac0

    遇到过jboss反序列化,也是部署不了shell,只能命令执行,最后只能反弹代理出来。感觉可能是热部署设置的问题。能直接抓到域控真是运气好啊!

    1

    多多少少都有些玄学的成分在里头、

  • 29楼
    2018-4-7 14:49
    jk影

    域结构有点奇怪,有两个子域?

    1

    也是可以这么理解成两个子域,但是感觉又不是,因为找不到他们的根域。

  • 28楼
    2018-3-26 11:43

    最开始使用的是,jboss反序列化?

  • 27楼
    2018-3-23 10:13

    遇到过jboss反序列化,也是部署不了shell,只能命令执行,最后只能反弹代理出来。感觉可能是热部署设置的问题。能直接抓到域控真是运气好啊!

  • 26楼
    2018-3-21 15:34

    是怎么上传jsp脚本上传到了jmx-console.war当中的?有点跳。

  • 25楼
    2018-3-21 09:22

    哇。楼主图画的不错

  • 24楼
    2018-3-19 16:10

    域结构有点奇怪,有两个子域?

  • 23楼
    2018-3-19 15:46

    好文,学习了

  • 22楼
    2018-3-19 15:29

    免杀倒是很精髓

  • 21楼
    2018-3-19 11:14

    这是新出的漏洞吗

  • 20楼
    2018-3-19 10:46
    blnxz

    msf生成的麻子,直接过AVG?还有就是俩域控执行net view/domain不一样,这俩域什么关系,是一个子域,一个根,还是俩都是子域,没有渗透完?

    1
    RcoIl

    不能直接过AVG,要混淆之后。 目前认为是俩都是子域,应该是域森林域的。没有渗透完。

    2

    你是怎么混淆的?msf本身在带的,还是自己写的算法?

  • 19楼
    2018-3-17 15:14

    能不能秀一把msf的生成参数?看看有什么神操作

  • 18楼
    2018-3-17 14:07
    末日

    哈哈 这个判断也整得我有点晕,administrator用户存在不是很正常么 另外 net localgroup administrators来查看本机管理员啊而且 本地的administrator账号跟域的administrator基本没什么关联啊当然 确实有很多情况下密码是通用的但是 本地的管理员不等于域管理员 不同概念啊

    1
    milkdevil

    握爪,看来我没有理解错误~~~

    2

    对的,老铁并没有理解错误,是我的问题。

  • 17楼
    2018-3-16 22:09
    末日

    哈哈 这个判断也整得我有点晕,administrator用户存在不是很正常么 另外 net localgroup administrators来查看本机管理员啊而且 本地的administrator账号跟域的administrator基本没什么关联啊当然 确实有很多情况下密码是通用的但是 本地的管理员不等于域管理员 不同概念啊

    1

    握爪,看来我没有理解错误~~~

  • 16楼
    2018-3-16 14:50
    Bearcat

    楼主用的JBOSS的哪个CVE?

    1
  • 15楼
    2018-3-16 14:34
    blnxz

    msf生成的麻子,直接过AVG?还有就是俩域控执行net view/domain不一样,这俩域什么关系,是一个子域,一个根,还是俩都是子域,没有渗透完?

    1

    不能直接过AVG,要混淆之后。 目前认为是俩都是子域,应该是域森林域的。没有渗透完。

  • 14楼
    2018-3-16 13:48

    msf生成的麻子,直接过AVG?还有就是俩域控执行net view/domain不一样,这俩域什么关系,是一个子域,一个根,还是俩都是子域,没有渗透完?

  • 13楼
    2018-3-16 12:44

    说明:本文中有个错误的概念验证,在判断域管理员的时候不能这么判断的,是不合理的。主要原因是在实操的时候,刚好能够使用Administrator用户密码登陆域,所以文章中就这么下结论了。这只是一个小概率事件,不成定律。