vulstack2（hydra爆mssql、免杀360、cs、msf渗透、weblogic、computer brower服务支持6118，域管密码过期kerberos认证错误导致部分域服务不可用）

admin管理员组

文章数量:1637687

 欢迎大家一起来Hacking水友攻防实验室学习，渗透测试，代码审计，免杀逆向，实战分享，靶场靶机，求关注

很久之前打了第一个靶场，但是打的不全，不舒坦，不够彻底，由于一直报rpc连接失败所以有的步骤不顺，这次学了一点小小的免杀技巧，过来带着练习的心态学学这个靶场。

欢迎一起打靶场呀！

0、环境搭建（难点）

环境搭建参考：漏洞详情 【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园

红日靶场二 WalkThrough – Crispr –热爱技术和生活

记得要在web机子里面手动开启服务，在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理，管理员身份运行它即可，管理员账号密码：Administrator/1qaz@WSX     而且，最好把三个主机都要开到快照v1.3.

一进去web机，就会跳出来一个360的东西：

输入Administrator密码1qaz@WSX,发现开启了360：

但是接着就发现无法访问：C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic，于是改用de1ay\de1ay用户登录，密码为1qaz@WSX，然后访问C:\Oracle\Middleware\user_projects\domains\base_domain\bin文件夹，发现会提示用管理员身份才能访问，输入Administrator密码1qaz@WSX就可以访问这个文件夹了，然后运行如图的bat文件：

弹出一个窗口，自动等待就可以。然后可以去看services.msc里面有没有weblogic（我没看到），或者nmap再扫描一次，发现这次开了7001端口的weblogic：

 发现了一个很奇怪的地方，为什么nmap扫得到，但是ping不通呢？？禁止icmp报文？

注意，一定要看到weblogic开启了：

 才能扫到7001端口

一、外网探测

我是kali和win7联合攻击，kali的ip是192.168.111.128 win7是192.168.111.136或者192.168.111.129

nmap -sn 192.168.111.0/24探测出存活主机除了我的攻击机子还有192.168.111.80，所以这就是web机子：

进一步：nmap -A -sV 192.168.111.80得到：

80/tcp    open  http               Microsoft IIS httpd 7.5
| http-methods:
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: Site doesn't have a title.
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ms-sql-ntlm-info:
|   Target_Name: DE1AY
|   NetBIOS_Domain_Name: DE1AY
|   NetBIOS_Computer_Name: WEB
|   DNS_Domain_Name: de1ay
|   DNS_Computer_Name: WEB.de1ay
|   DNS_Tree_Name: de1ay
|_  Product_Version: 6.1.7601
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2019-10-20T09:57:12
|_Not valid after:  2049-10-20T09:57:12
|_ssl-date: 2019-10-21T03:07:57+00:00; -1y335d05h44m07s from scanner time.
3389/tcp  open  ssl/ms-wbt-server?
|_ssl-date: 2019-10-21T03:07:57+00:00; -1y335d05h44m06s from scanner time.
7001/tcp  open  http               Oracle WebLogic Server (Servlet 2.5; JSP 2.1)
|_http-title: Error 404--Not Found
49152/tcp open  msrpc              Microsoft Windows RPC
49153/tcp open  msrpc              Microsoft Windows RPC
49154/tcp open  msrpc              Microsoft Windows RPC
49155/tcp open  msrpc              Microsoft Windows RPC
49156/tcp open  msrpc              Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

开了80,135,137,445，很容易想到永恒之蓝攻击，ipc$攻击，psexec攻击admin$开放的主机。web服务器192.168.111.80的os是win2K8R2  3389开了说不定还是远程登录。7001很明显是Oracle WebLogic Server (Servlet 2.5; JSP 2.1)。这个容器历史漏洞还是挺多的。

二、找外网突破口

大佬的思路：

开放了几个高危端口都存在利用之出，445端口开放即存在smb服务，存在smb服务就可能存在ms17-010端口溢出漏洞,开放139端口，就存在Samba服务，可能存在爆破/未授权访问/远程命令执行漏洞,1433端口则说明该服务器部署mssql,可能存在mssql弱口令从而通过mssql命令执行及提权等操作,7001端口开放WebLogic Server,由于是WEB服务器,因此可以先从weblogic入手。

2.1思路一用1433端口爆破mssql登录然后提权写shell

hydra -L /tmp/2.txt -P /tmp/3.txt 192.168.111.80 mssql -vv

但是我发现：在使用浏览器访问192.168.111.80的1433端口的时候，出现了这个问题，会不会是web机拒绝非本地连接呢࿱

本文标签： 不可用错误密码CSMSSQL