闲着无聊的时候,使用FOFA找到一个搭载WebLogic的目标,成功获取了管理员权限。
接下来,我们需要获取WebShell。在这里,我选择了内存马注入的方式,当然也可以直接写入WebShell。
路径如下:
- \Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\
- WebShell链接:http://xxxxxx/console/framework/skins/wlsconsole/images/123.jsp
- \Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\随机字符\war\shell.jsp
- WebShell链接:http://xxxxx:7001/uddiexplorer/123.jsp
进行简单的信息收集,目标系统为Windows Server 2003,未安装杀毒软件。
利用CS(Cobalt Strike)直接上线。为了防止进程失联,采用进程注入的方式再次上线另一个会话。
发现WebLogic服务器存在多个网络接口,上传FRP(Fast Reverse Proxy),以进入内网。
进行简单的内网主机探测。
查找IPC连接,结果为空。利用获取的服务器令牌尝试上线其他机器,成功连接到.1。
对.1进行信息收集,发现其为Windows Server 2008。尝试将进程转移到x64,但利用x86进程的Mimikatz失败。
最终,通过Mimikatz获取了明文密码。
利用获取的明文密码,对内网进行密码喷洒,但只成功爆破了两台主机,而且这两台已经获取了权限,所以结果无意义。
上传FScan对内网进行扫描,发现资产并不算多。
在.4上发现MySQL的空密码。
查找.1的配置文件,成功获取了数据库账号密码。
WebLogic .2的数据库配置文件密码经过加密,但我们成功解密了它。然而,尝试连接时发现无法成功,且访问URL时发现该网站已关闭。
利用获取的密码和弱口令对MySQL、Oracle、SQL Server、RDP等服务进行爆破,但都未获得结果。FScan扫描结果中发现一个MS17-010漏洞,但这也是一个已获得权限的主机,我们尝试了从Web等方面进行攻击。
内网存在GitLab、Confluence、Tomcat、Elasticsearch等服务,但无法进行RCE(远程命令执行)。仅存在一些不痛不痒的未授权访问和敏感信息泄露,也没有发现弱口令等。
继续登上服务器寻找有用的信息,发现了一个数据库备份配置文件。尝试连接失败,内网进行爆破同样无果。看到了一些日期为2015年的数据库备份文件,感叹自己的技术水平还有待提高。
太菜了,溜了溜了。
暂无评论内容