深入实操：一次平凡内网记录的实践探索

闲着无聊的时候，使用FOFA找到一个搭载WebLogic的目标，成功获取了管理员权限。

接下来，我们需要获取WebShell。在这里，我选择了内存马注入的方式，当然也可以直接写入WebShell。

路径如下：

• \Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\
  • WebShell链接：http://xxxxxx/console/framework/skins/wlsconsole/images/123.jsp
• \Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\uddiexplorer\随机字符\war\shell.jsp
  • WebShell链接：http://xxxxx:7001/uddiexplorer/123.jsp

进行简单的信息收集，目标系统为Windows Server 2003，未安装杀毒软件。

利用CS（Cobalt Strike）直接上线。为了防止进程失联，采用进程注入的方式再次上线另一个会话。

发现WebLogic服务器存在多个网络接口，上传FRP（Fast Reverse Proxy），以进入内网。

进行简单的内网主机探测。

查找IPC连接，结果为空。利用获取的服务器令牌尝试上线其他机器，成功连接到.1。

对.1进行信息收集，发现其为Windows Server 2008。尝试将进程转移到x64，但利用x86进程的Mimikatz失败。

最终，通过Mimikatz获取了明文密码。

利用获取的明文密码，对内网进行密码喷洒，但只成功爆破了两台主机，而且这两台已经获取了权限，所以结果无意义。

上传FScan对内网进行扫描，发现资产并不算多。

在.4上发现MySQL的空密码。

查找.1的配置文件，成功获取了数据库账号密码。

WebLogic .2的数据库配置文件密码经过加密，但我们成功解密了它。然而，尝试连接时发现无法成功，且访问URL时发现该网站已关闭。

利用获取的密码和弱口令对MySQL、Oracle、SQL Server、RDP等服务进行爆破，但都未获得结果。FScan扫描结果中发现一个MS17-010漏洞，但这也是一个已获得权限的主机，我们尝试了从Web等方面进行攻击。

内网存在GitLab、Confluence、Tomcat、Elasticsearch等服务，但无法进行RCE（远程命令执行）。仅存在一些不痛不痒的未授权访问和敏感信息泄露，也没有发现弱口令等。

继续登上服务器寻找有用的信息，发现了一个数据库备份配置文件。尝试连接失败，内网进行爆破同样无果。看到了一些日期为2015年的数据库备份文件，感叹自己的技术水平还有待提高。

太菜了，溜了溜了。