实战！一次平平无奇内网渗透记录

实战！一次平平无奇内网渗透记录
2023-6-13 14:15:20 Author: www.secpulse.com(查看原文) 阅读量:32 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

正文

闲着发慌，fofa找了一个weblogic，直接获取administrator权限。

接下来就是获取webshell，这里选择内存马注入，也可以写webshell，路径有

\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\http://xxxxxx/console/framework/skins/wlsconsole/images/123.jsp
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsphttp://xxxxx:7001/uddiexplorer/123.jsp

OracleMiddlewarewlserver_10.3serverlibconsoleappwebappframeworkskinswlsconsoleimageshttp://xxxxxx/console/framework/skins/wlsconsole/images/123.jsp
OracleMiddlewareuser_projectsdomainsbase_domainserversAdminServertmp_WL_internaluddiexplorer随机字符warshell.jsphttp://xxxxx:7001/uddiexplorer/123.jsp

简单信息收集一下，winserver2003，无杀软

直接掏出cs，上线。这里防止进程掉线，利用进程注入上线另一个会话

发现weblogic存在多网卡，上传frp，进入内网

简单的内网主机探测

查了ipc连接结果为空，利用获取的服务器令牌去尝试上线其他机器，.1上线

对.1进行信息收集，发现为window server08，将进程转移至x64，x86进程mimikatz利用不成功

mimikatz获取明文密码

针对获取的明文，内网进行密码喷洒，只爆破成功两台主机。两台前面都已获取了权限，无意义。

上传fscan对内网进行扫描，资产不算多。

.4 mysql空密码

找.1配置文件，获取数据库账号密码

Weblogic .2数据库配置文件密码加密，解密成功。想去连接发现无法连接上，访问url发现网站被关了。

利用获取的密码、弱口令对mysql，oracle，sqlserver，rdp等服务进行爆破，都没结果。Fscan扫描出一个ms17-010也是已获得权限的主机，从web等进行尝试。

内网存在gitlab、Confluence、tomcat、elasticsearch等，都无法rce。只有一些不痛不痒未授权、敏感信息泄露，也不存在弱口令等

继续登上服务器找一些有用的东西，发现一个数据库备份配置文件。尝试连接都失败，内网进行爆破也一样失败，看了一些日期2015年的数据库备份文件，额。

太菜了，溜了溜了

文章来源：先知社区（kone）原文地址：https://xz.aliyun.com/t/12570

本文作者：潇湘信安

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/201867.html

文章来源: https://www.secpulse.com/archives/201867.html
如有侵权请联系:admin#unsafe.sh