實戰 | 記一次簡單的國外站點小練手

0x01 前言

本文沒什么技術含量，純粹是無聊找國外的站點來練手，但是中途還是踩了點小坑，希望能幫到遇到同樣問題的師傅吧。

0x02 開局

開局非常的EZ

看到這懂得都懂了，weblogic漏洞一把梭

Weblogic寫shell的姿勢也是老生常談了，不過還是提一嘴（因為還記得第一次搞weblogic的時候找了好久的路徑），Weblogic寫shell的路徑大概如下

/u01/domains/osb/servers/AdminServer/tmp/_WL_internal/uddiexplorer/隨機字符/war/shell.jsp

不一定完全和上面的路徑一致，但是絕對長得很像，有部分路徑比方說/ tmp/_WL_internal/uddiexplorer/ 這個是不會變的

把shell寫到上面的路徑，然后使用如下的url連接即可

http://xxxx/uddiexplorer/shell.jsp

成功獲得一個入口點

簡單看了一下環境，沒有殺軟和EDR之類的東西，那就直接上個CS

看一下用戶組，看來是個比較簡單的環境

翻一下arp表和路由，找找可達網段

目前只有一個192.168.1.0/24段是可達的，并且是工作組環境。那就試試提權罷，因為本來的權限就是Administrator，直接getsystem試試

非常好，接下來直接提密碼

不過很遺憾的是，不知道目標主機上有什么配置，一直都提不出明文密碼（修改注冊表之類的姿勢均不成功），并且這個NTLM HASH也解不出來，那就先不管了。先做個計劃任務權限維持，然后上fscan開掃。

這個內網環境主要的資產就這些，注意到192.168.1.3有個Redis未授權，并且1.3上開放了1433等其它數據庫常見端口，相比是數據庫服務器。淺試了一波用現在收集到的憑據沒辦法直接橫向到1.3主機，那么就得想想別的辦法。

有一款集成常見數據庫利用方式的工具非常好用，這里放上鏈接

https://github.com/SafeGroceryStore/MDUT

socks代理進去直接開連

可以看到已經獲得了很多信息

雖然說目標redis的版本是4.x，理論上是符合主從復制getshell的條件的，但是無奈Windows環境復現Redis主從復制getshell bug一堆，到最后我也沒有解決。還是想想別的辦法罷。看了一下1.3主機開放了3389，不過系統是2016，不符合HASH傳遞登陸RDP的版本。不過我們現在拿下的這臺192.168.1.7是2012，剛好符合。所以可以直接嘗試HASH傳遞登陸RDP（雖然WIN 8.1和WIN 2012 可以直接打，但本文為了加點內容還是演示一下怎么修改注冊表手動開啟這個功能）。

首先執行如下命令修改注冊表

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

再執行如下命令，如果回顯內容為“DisableRestrictedAdmin REG_DWORD 0x0“ 則說明修改成功

如果配置成功了，那么接下來就非常EZ了。Mimikatz運行如下命令

privilege::debugsekurlsa::pth /user:用戶名（administrator） /domain:主機名 /ntlm:（獲取的HASH）55b05 "/run:mstsc.exe /restrictedadmin"

比方說我當前的主機192.168.1.7的主機名是Automation，那么就可以寫成

sekurlsa::pth /user:administrator /domain: Automation /ntlm:（獲取的HASH）55b05 "/run:mstsc.exe /restrictedadmin"

然后就開心的嘗試登陸（PS.這種姿勢只能用來登陸管理員用戶，普通權限的用戶似乎是不行的。）

Az，遇到這種情況也別怕，這種報錯通常是因為Win10操作系統的問題。我們修改一下注冊表即可。位置如下

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

有些人可能會沒有\CredSSP\Parameters這兩項，如果沒有這兩項就需要你自己手動創建

接著新建一個32 位的、DWORD 類型的記錄，名為：“AllowEncryptionOracle”，將其十進制數值改為 2 即可

終于看到令人開心的東西了（順帶一提，國外站點+socks代理的雙重buff下，如果你的VPS是國內的，那么遠程桌面真的卡得離譜）

成功拿下

看了一下，這臺機器可以直接連到192.168.1.3

最終也成功拿下了192.168.1.3，圖就不放了（其實是因為國外站點+socks代理+遠程桌面套遠程桌面 三重buff直接卡的顯示不出來，壓根截不了圖）

（PS.另外兩個HASH傳遞登陸RDP的坑點我在網上找到了，雖然我沒碰見但還是說一下。如果遇到ERROR kuhl_m_sekurlsa_acquireLSA ; Modules informations報錯則檢查mimiket及對應操作系統版本；如果遇到error kuh1_m_sekurlsa_acquireLSA:logon list報錯那么就需要下載最新版的mimikatz）

0x03 結語

本文主要還是試了一手HASH傳遞登陸RDP+解決Win10下RDP CredSSP加密數據庫修正報錯，沒什么技術含量。其實理論上來說直接新建個用戶進去RDP劫持也是可以的，不過因為懶就沒試了