访问拿到的ip，发现是某公司的OA系统，先扫描开放端口

这里使用shodan的插件直接看发现开放了7001端口

访问目标存在weblogic服务,http://18X.XX.XX.XXX:7001

使用weblogic利用工具扫描漏洞

发现存在漏洞，疑似存在域环境 当前账户 域\admin

执行wmic COMPUTERSYSTEM get domain,workgroup && wmic os get name && ipconfig /all && tasklist /svc && ping 8.8.8.8

查看是否在域内、当前操作系统版本、网络信息、当前进程（杀软识别）、出网检测

通过以上信息，可以判断机器为Server2012在域内、IP为192.168.0.1、存在Padvish AV杀软、机器出网

此处有杀软，无法powershell直接上线，可以先上传一个webshell方便后续操作；

找到web目录 哥斯拉生成jsp的webshell

使用工具写入E:\bea\user_projects\domains\oadomain\servers\oaserver\tmp_WL_internal\uddiexplorer\uhy035\war

备注：weblogic部署war包是在domains\oadomain\servers\oaserver\tmp_WL_internal\uddiexplorer下的一个随机6位字符的目录下并不固定，需要手动查找

要成功上线CS需要对beacon做免杀处理

使用CS的Attacks→Packaes→Windows Executables(s)→outpub选择raw 生成原始的64位shellcode

加密shellcode

将加载器和加密后的shellcode上传到目标系统

机器上线，发现并不是管理员权限无法dumphash

net user admin /domain 查询当前用户在域内的权限，发现是域管理员权限

由于上线时为低令牌账户，token不完整，尝试提权和信息收集

首先信息收集

portscan 192.168.0.0-192.168.0.255 135,445,80,8080,7001,3389 none 1024

扫描内网主机

或者使用fscan扫描（扫描速度更快 顺带检测出MS17-010）

提升权限 使用CS自带的UAC提权

提升为高令牌的admin*

此时hashdump还是无法dump，尝试注入到本机上登录的域管理员administrator用户进程，成功注入(如果还不成功考虑sc创建服务[sc默认以system权限启动])

使用域管理员administrator进程进行dump

成功获取hash

mimikatz's lsadump::dcsync /domain:xxx /user:krbtgt

获取krbtgt的hash 便于后期制作金票据

在收集密码的时候发现域环境比较旧 尝试GPO组策略密码查找 发现组策略中配置的密码明文 结合net user发现修改日期过旧 判定不具备参考价值

提取浏览器相关的信息 这里使用QAX-A-Team的BrowserGhost工具

没有明显的可以利用的凭证

使用一键pth检测工具测试当前网段可以pth的机器

wmic可以执行命令：

上传beacon到对方机器，wmic远程执行上线

使用browerghost获取chrome密码历史记录

通过上述获取到了：

• Username : Administrator
• Domain : xxx
• Password : yaallah@1397
• NTLM : 5e1cd494688c08365f744949f7e62b80

曾经的密码：Javanrud2815

其他用户 :

• Username : admin
• Domain   : xxx
• Password : 6363

krbtgt的hash：7209066859041b4da12d5a28036f6751

sarshin、alan域用户的密码：123

以及部分内网系统的登录密码

至此，本次渗透完成。