0x01 前言
本文没什么技术含量,纯粹是无聊找国外的站点来练手,但是中途还是踩了点小坑,希望能帮到遇到同样问题的师傅吧。
0x02 开局
开局非常的EZ
看到这懂得都懂了,weblogic漏洞一把梭
Weblogic写shell的姿势也是老生常谈了,不过还是提一嘴(因为还记得第一次搞weblogic的时候找了好久的路径),Weblogic写shell的路径大概如下
/u01/domains/osb/servers/AdminServer/tmp/_WL_internal/uddiexplorer/随机字符/war/shell.jsp
不一定完全和上面的路径一致,但是绝对长得很像,有部分路径比方说/ tmp/_WL_internal/uddiexplorer/ 这个是不会变的
把shell写到上面的路径,然后使用如下的url连接即可
http://xxxx/uddiexplorer/shell.jsp
成功获得一个入口点
简单看了一下环境,没有杀软和EDR之类的东西,那就直接上个CS
看一下用户组,看来是个比较简单的环境
翻一下arp表和路由,找找可达网段
目前只有一个192.168.1.0/24段是可达的,并且是工作组环境。那就试试提权罢,因为本来的权限就是Administrator,直接getsystem试试
非常好,接下来直接提密码
不过很遗憾的是,不知道目标主机上有什么配置,一直都提不出明文密码(修改注册表之类的姿势均不成功),并且这个NTLM HASH也解不出来,那就先不管了。先做个计划任务权限维持,然后上fscan开扫。
这个内网环境主要的资产就这些,注意到192.168.1.3有个Redis未授权,并且1.3上开放了1433等其它数据库常见端口,相比是数据库服务器。浅试了一波用现在收集到的凭据没办法直接横向到1.3主机,那么就得想想别的办法。
有一款集成常见数据库利用方式的工具非常好用,这里放上链接
https://github.com/SafeGroceryStore/MDUT
socks代理进去直接开连
可以看到已经获得了很多信息
虽然说目标redis的版本是4.x,理论上是符合主从复制getshell的条件的,但是无奈Windows环境复现Redis主从复制getshell bug一堆,到最后我也没有解决。还是想想别的办法罢。看了一下1.3主机开放了3389,不过系统是2016,不符合HASH传递登陆RDP的版本。不过我们现在拿下的这台192.168.1.7是2012,刚好符合。所以可以直接尝试HASH传递登陆RDP(虽然WIN 8.1和WIN 2012 可以直接打,但本文为了加点内容还是演示一下怎么修改注册表手动开启这个功能)。
首先执行如下命令修改注册表
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
再执行如下命令,如果回显内容为“DisableRestrictedAdmin REG_DWORD 0x0“ 则说明修改成功
如果配置成功了,那么接下来就非常EZ了。Mimikatz运行如下命令
privilege::debug sekurlsa::pth /user:用户名(administrator) /domain:主机名 /ntlm:(获取的HASH)55b05 "/run:mstsc.exe /restrictedadmin"
比方说我当前的主机192.168.1.7的主机名是Automation,那么就可以写成
sekurlsa::pth /user:administrator /domain: Automation /ntlm:(获取的HASH)55b05 "/run:mstsc.exe /restrictedadmin"
然后就开心的尝试登陆(PS.这种姿势只能用来登陆管理员用户,普通权限的用户似乎是不行的。)
Az,遇到这种情况也别怕,这种报错通常是因为Win10操作系统的问题。我们修改一下注册表即可。位置如下
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters
有些人可能会没有CredSSPParameters这两项,如果没有这两项就需要你自己手动创建
接着新建一个32 位的、DWORD 类型的记录,名为:“AllowEncryptionOracle”,将其十进制数值改为 2 即可
终于看到令人开心的东西了(顺带一提,国外站点+socks代理的双重buff下,如果你的VPS是国内的,那么远程桌面真的卡得离谱)
成功拿下
看了一下,这台机器可以直接连到192.168.1.3
最终也成功拿下了192.168.1.3,图就不放了(其实是因为国外站点+socks代理+远程桌面套远程桌面 三重buff直接卡的显示不出来,压根截不了图)
(PS.另外两个HASH传递登陆RDP的坑点我在网上找到了,虽然我没碰见但还是说一下。如果遇到ERROR kuhl_m_sekurlsa_acquireLSA ; Modules informations报错则检查mimiket及对应操作系统版本;如果遇到error kuh1_m_sekurlsa_acquireLSA:logon list报错那么就需要下载最新版的mimikatz)
0x03 结语
本文主要还是试了一手HASH传递登陆RDP+解决Win10下RDP CredSSP加密数据库修正报错,没什么技术含量。其实理论上来说直接新建个用户进去RDP劫持也是可以的,不过因为懒就没试了
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/181896.html