模拟内网有三台机器:WEB、PC和DC。
WEB服务器有两个网络适配器,适配器1处于NAT模式用于连接外网,适配器2用于内网。
PC和WEB服务器一样,有两个适配器,能够同时访问外网和内网;DC作为域控制器,只有一个适配器,仅内网访问。
当前物理主机的ip地址为:192.168.25.189
使用nmap或其他工具或者直接进入WEB主机查看ip,获取WEB主机的ip:192.168.25.135
nmap 192.168.25.135 -sV -p 1-10000
除80端口开放外,还有7001端口开放了WebLogic,访问7001端口发现是404页面,不过这是自己提供的404页面而不是浏览器提供的,可以判断服务开启
WebLogic有个控制台/console,尝试访问
暴露了版本为10.3.6.0,根据版本号可以找到很多nday漏洞进行利用。
这里使用Liqun工具箱进行漏洞利用,首先探测漏洞
选取其中一个进行利用,尝试执行命令whoami
whoami
命令执行成功,而且还是管理员权限。继续执行ipconfig /all
命令
探测到该WEB服务器在内网的地址为10.10.10.80。可以进一步进行内网渗透。
另外开启一台kali作为Cobalt Strike的服务器,其ip地址为192.168.25.129
./teamserver 192.168.25.129 123456 # 123456为连接密码
然后在弹出的对话框中选择刚刚创建的监听器,格式选PowerShell Command
payload会保存在一个txt文件里,保存完打开复制即可。
可以看到目标成功上线
然后可以抓取hash或者明文密码
成功抓取明文密码为:1qaz!QAZ
使用CS自带的模块可进行探测
网络探测失败,可以使用端口探测
扫描结果如下
监听器选择刚才创建的SMB监听,会话选择已经上线的WEB服务器作为跳板
上线成功
目前,三台机器已经被打下了两台:WEB和DC,剩下的PC也可以尝试横向移动直接上线。不过下面采用远程桌面连接的方式。
PC机在内网,一般也没有对外开放的服务,在外网的kali攻击机没办法直接访问到。所以要用之前拿下的WEB服务器做跳板,通过代理的方式来访问到内网中的PC机。
选择“代理转发-Socks代理”
CS会在服务端,也就是kali攻击机上开放一个端口。发往内网的流量会通过这个端口交付CS处理,CS会将流量再转发到已上线的WEB服务器,从而通过WEB服务器访问到内网的PC。
修改kali里的/etc/proxychains4.conf
配置文件,其中最后一行的代理端口要填写kali攻击机刚刚开放的端口,ip地址127.0.0.1和攻击机ip都可以。
然后可以使用rdesktop远程连接
proxychains4 rdesktop 10.10.10.201
进入远程桌面之后就可以关掉PC机里的360了
然后在远程桌面里执行之前的payload,使PC上线
可以看到PC确实上线了,由此完成所有内网渗透。