攻防中的杀软对抗

免责声明

本博客文章仅供教育和研究目的使用。本文中提到的所有信息和技术均基于公开来源和合法获取的知识。本文不鼓励或支持任何非法活动，包括但不限于未经授权访问计算机系统、网络或数据。

作者对于读者使用本文中的信息所导致的任何直接或间接后果不承担任何责任。包括但不限于因使用本文所述技术而可能导致的法律诉讼、财产损失、隐私泄露或其他任何形式的责任。

在进行任何渗透测试或安全研究之前，请确保您已获得所有必要的授权，并遵守适用的法律和道德准则。未经授权的安全测试可能违反法律，并可能导致严重的法律后果。

本文中的内容仅供参考，不应被视为专业建议。在进行任何安全相关活动之前，建议咨询具有相应资质的专业人士。

作者保留对本博客文章的所有权利，并有权在未经通知的情况下进行修改或删除。

正文部分

前期准备
        目标：拿下域控主机权限

        环境搭建：

                攻击机：Windows 10

                              Kali-2022(192.168.162.27)

                靶机：Windows Server 2008 R2(NAT：192.168.162.80、仅主机：10.10.10.80)

                           Windows 7(NAT：192.168.162.201、仅主机：10.10.10.201)

                           Windows Server 2012 R2(仅主机：10.10.10.10)

                机器说明：

                           WEB：Windows Server 2008 R2

                           PDC：Windows Server 2012 R2

                           PC：Windows 7

信息收集

主机发现

发现两台机器，接下来扫一下端口

端口扫描

发现 192.168.162.80 这台机器开放了 80 端口，打开浏览器进行访问

发现 80 端口是空白页，那么就进行服务探测，http 服务一定在某个端口上部署着

服务探测

原来 http 服务在 7001 端口上，只不过根据扫描结果可以看出 7001 端口直接访问的话是 Error 404--Not Found，不信试试看

在插件中也看到了中间件

初步总结

        通过初步的信息收集，确定该服务器为 Windows Server 2008 R2，而且发现 80、1443、3389、7001 这些常见带有特定服务的端口。并且发现该服务器使用的中间件为 IIS，80 端口没有内容，7001 端口访问后状态码为 404。虽然是这样，不过还是发现了 7001 端口对应的服务为 Weblogic，且版本为 10.3.6.0

漏洞扫描

有了服务的版本，那么就可以寻找服务的历史漏洞进行利用，这里为了方便，使用工具进行批量扫描。可以发现 Weblogic 服务存在 CVE-2019-2725、CVE-2017-10271、CVE-2020-14750 等漏洞

漏洞利用

接下来就使用 CVE-2019-2725 漏洞进行利用。CVE-2019-2725 是Oracle WebLogic Server 中的一个反序列化远程代码执行漏洞。这个漏洞允许未经授权的攻击者通过发送精心构造的恶意 HTTP 请求，利用 WebLogic 的 XMLDecoder 反序列化漏洞，获取服务器权限并执行远程命令。说白了就是一个 RCE。下面使用利用 CVE-2019-2725 漏洞的脚本生成 webshell

看起来效果非常不错，看到了当前用户，再看一看目标是否存在双网卡

再多看点信息

web 服务器还存在域，名为 de1ay.com。那么 ping 一下看看情况

看来域控服务器还是一台 Windows 机器，并且域控机器的 IP 为 10.10.10.10。使用 webshell 创建新的 webshell，发现访问不到，猜测 web 服务器上有安全软件，应该是被杀掉了。查看一下系统正在运行的进程

发现有一个 ZhuDongFangYu.exe 的进程，这是 360 安全卫士的主动防御进程，它负责实时监控电脑系统，防止木马病毒出现并阻止病毒或木马的安全进程。将这些信息复制粘贴下来，到 Windows 在线杀软平台粘贴进行查询一下，发现确实是 360 在其中“作祟”

这也验证了刚才的猜测是正确的，web  服务器上的确存在安全软件。接下来怎么办呢？首先考虑写一个木马且不能被杀掉，其次需要访问到这个木马文件。对于 Weblogic 来说，_async 是一个url 路径，无法将木马写入这里，不过还有一个 web 目录可以访问，那就是 wsl-wsat 目录，在靶机中对应的路径是 C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\wls-wsat\54p17w\war\，那么就将木马写到这里

GetShell

写入 webshell

将冰蝎的 shell.jsp 马写入到指定路径下

访问 webshell

没有出现问题，说明木马写入成功

连接 webshell

连接成功后执行一个系统命令

metasploit 上线

配置 metasploit

配置冰蝎反弹 shell

配置完成后，点击 “给我连” 按钮

成功上线

Cobalt Strike 上线

在 metasploit 里面太局限，还是得想办法把 web 服务器上线到 Cobalt Strike

查找模块

配置模块

启动服务

创建监听器

成功上线

执行模块，到 Cobalt Strike 看看上线了没有

提升权限

获取密码

内网渗透

内网探测

探测内网机器

创建监听器

PDC 上线

PC 上线

这里在上线域内成员主机的时候发现前面的方法不行，然后另寻出路，使用 web 服务器作为跳板进行上线，其实在上线 PDC 的时候也可以用这个方法

创建中转器

选择凭据

这里的 Administrator 用户凭据正常情况下是在获取密码那一步自动获取的，没有的话就手动添加

成功上线

到这里，三台机器就已经被拿下了，那么来一张拓扑图简单记录一下渗透过程

权限维持

这里就不详述怎么维持了，参考往期文章 利用域账号实现权限扩散 上传 exe 文件，需要注意的是 exe 文件要经过免杀处理，靶机中有 360，就算是在真实环境中也避免不了目标会安装杀毒软件、设置防火墙等一些防御措施

清理痕迹

这次请来了 OLa 帮忙清理痕迹

能清理的就都清理掉，被查了可就要 G 喽 ~