</h1>
<div class="clear"></div>
<div class="postBody">
<div id="cnblogs_post_body" class="blogpost-body blogpost-body-html">
一、环境搭建:
①根据作者公开的靶机信息整理
没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件
②虚拟机网卡设置
centos双网卡模拟内外网:
外网:192.168.1.110
内网:192.168.93.100
其他主机都是内网,仅主机模式:
内网:192.168.93.0/24
![](https://i-blog.csdnimg.cn/blog_migrate/98705a78041dbb51864e7ad5745d2f71.png)
所有虚拟机默认挂起状态,开启就已经登陆了,配置好网卡后,互相ping测试一下,网络环境没问题就可以进行下一步了。
二、web层渗透:
0x01 前期信息收集:
①端口、服务探测:
nmap 192.168.1.110 -T4 -A -sV
开启了80、22、3306端口,入手点就挺多了(ssh爆破、mysql爆破、http服务的web漏洞挖掘getshell等等...)
![](https://i-blog.csdnimg.cn/blog_migrate/9d9f794a6d7f294eaf9125feca29d8e2.png)
访问了一下80端口的http服务,是joomlaCMS搭建的
![](https://i-blog.csdnimg.cn/blog_migrate/9a0d399e522da2d6bf10492f28d38387.png)
②站点扫描:
1.直接使用joomscan扫描一下
joomscan -u http://192.168.1.110/
![](https://i-blog.csdnimg.cn/blog_migrate/c0ae32fa55b141fd0e5fb29aa5549374.png)
发现版本为3.9.12,比较高,不太好搞...
![](https://i-blog.csdnimg.cn/blog_migrate/a40211e7bd1b0e933c6b1c1de6b0a48a.png)
2.发现两个比较重要的目录
后台登陆页面:
![](https://i-blog.csdnimg.cn/blog_migrate/503d25196cdb1e80088a2fa45aaf4b33.png)
配置文件泄露:testuser / cvcvgjASD!@
![](https://i-blog.csdnimg.cn/blog_migrate/a38fed0a49f45aa6db4d083dd569c0a5.png)
0x02 漏洞利用getshell:
①尝试远程连接mysql,获取后台管理员密码
根据nmap的信息,扫描出3306是开放的,利用navicat连接一下,很顺利地连接上了
![](https://i-blog.csdnimg.cn/blog_migrate/91c7634ebe98d123364a188630d7f993.png)
找到管理员user表,发现密码是加密的,具体怎么加密的不清楚,尝试解密,失败...
![](https://i-blog.csdnimg.cn/blog_migrate/3de3e17ff174fb7eeb3985dbd8c6ca8d.png)
②添加后台管理员
因为joomlaCMS可以直接后台模板getshell,所以得想办法进入后台,但是默认的管理员用户密码又是未知的,那么我是不是可以直接往user表里面添加一个管理员?然后登陆不就好了吗,开始吧...
通过百度、谷歌大法,发现了官方的说明文档:
![](https://i-blog.csdnimg.cn/blog_migrate/0323d310b349908f7f57bea811247d36.png)
根据官方文档,添加一个admin2 / secret 的管理员,注意修改表前缀
![](https://i-blog.csdnimg.cn/blog_migrate/654bb94bdf2ca23d5159bfb948a20677.png)
可以看到已经添加成功了
![](https://i-blog.csdnimg.cn/blog_migrate/b11c7681fca7122887494b077e69c386.png)
利用新添加的管理员进行登陆,登陆成功
![](https://i-blog.csdnimg.cn/blog_migrate/65c0baad3ec5b6ad97836831596df277.png)
③模板getshell
![](https://i-blog.csdnimg.cn/blog_migrate/55de20a1bc0a688f84c41722bb381e76.png)
点击New File,新建文件:
![](https://i-blog.csdnimg.cn/blog_migrate/32de45672a7ab9ee3b5a02826e13ccb2.png)
输入文件名:
![](https://i-blog.csdnimg.cn/blog_migrate/11f5db57f5086d164973ac814d29372d.png)
写入一句话木马:
![](https://i-blog.csdnimg.cn/blog_migrate/782ba31802f25ea4c3835cbf996f3ff7.png)
利用蚁剑连接webshell:
![](https://i-blog.csdnimg.cn/blog_migrate/e69946ac050b349a6ee0e3129ef2a88f.png)
0x03 提权与本机信息收集
①bypass disable_functions
尝试执行命令,返回ret=127,毫无疑问就是disable_functions的限制了
![](https://i-blog.csdnimg.cn/blog_migrate/6dd9e3f55547ebb9bd1408e78cc479af.png)
通过phpinfo发现禁用了如下函数,目标是linux,并且没有禁用putenv函数,所以可以利用LD_PRELOAD绕过
![](https://i-blog.csdnimg.cn/blog_migrate/d9bdba1ada7e119e798d25a7e2687ce1.png)
把bypass_diablefunc.php和bypass_diablefunc_x64.so一并上传到同一目录,.so文件需要根据目标系统架构选择,然后访问bypass_diablefunc.php,poutpath必须是可写目录,构造如下payload:
http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/panda&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so
![](https://i-blog.csdnimg.cn/blog_migrate/b6c091bae4820a7a64960bde143a259f.png)
查看ip信息,发现ip并不是centos的,看了下应该是ubuntu的,说明真正的web服务后端是在ubuntu上,通过centos做了个nginx反向代理解析到Ubuntu上了(百度了解了一下)
![](https://i-blog.csdnimg.cn/blog_migrate/45261094901e3a38dd622d78f22142f2.png)
分析:当前ubuntu的权限太低...并且内核很高,不好提权,想执行socks代理的程序,都成问题,并且ubuntu是不出网的,那么我有没有办法拿到centos的权限呢?既然做了反代,那么我能否看一下bash历史记录,找到一些遗漏的信息呢?(结果不行..),然后就各种配置文件找、有权限看的文件都看一下,想找到有泄露的信息
![](https://i-blog.csdnimg.cn/blog_migrate/a4f9d5c1948fece08893aedf48a71d11.png)
②敏感文件泄露
最终在tmp目录下找到了个test.txt文件直接给出了一个用户和密码:
![](https://i-blog.csdnimg.cn/blog_migrate/ccd69747d86b7b50f54cdb816e6e9d28.png)
直接登陆centos,成功....
![](https://i-blog.csdnimg.cn/blog_migrate/93987e0cdc63d5916d8d169492cefe18.png)
③脏牛提权
想要继续横向移动,最好就是能利用跳板机搭建socks代理,所以权限得够,查看centos的内核,发现在脏牛影响的范围内:
![](https://i-blog.csdnimg.cn/blog_migrate/c6f1c92462a128304dbfa2d6be9b124a.png)
wget下载exp,并赋予执行权限
![](https://i-blog.csdnimg.cn/blog_migrate/cf72e5a6ecc28c5e88cfa9529cc1cd49.png)
编译并执行exp
![](https://i-blog.csdnimg.cn/blog_migrate/e5f52088dd34a1fac000b83320f9d5f6.png)
提权成功
![](https://i-blog.csdnimg.cn/blog_migrate/dd37fc63764d7ee3eb95f85fe883b275.png)
0x04 横向移动
①msf上线
我这里使用web_delivery模块上线
![](https://i-blog.csdnimg.cn/blog_migrate/1c02681f52cf9b1a6665d8d21dd9d37f.png)
目标主机上执行msf给出的命令即可上线
![](https://i-blog.csdnimg.cn/blog_migrate/d9d49d0edac52569ecef4079aeecaf53.png)
②添加路由
![](https://i-blog.csdnimg.cn/blog_migrate/e8465e14a5d650c46716fcbc421411fa.png)
③存活主机探测
![](https://i-blog.csdnimg.cn/blog_migrate/94c0963f778584298b0ca231faf7951c.png)
发现3台windows,并且存在TEST域环境
![](https://i-blog.csdnimg.cn/blog_migrate/56b1f07e0aea60ca5cf161f85120cf22.png)
④直接继续爆破smb
注意密码字典的格式为:用户名 密码
![](https://i-blog.csdnimg.cn/blog_migrate/a9a7b25838563b3d133d9e2a7a2af13b.png)
⑤使用psexec登陆win2008
![](https://i-blog.csdnimg.cn/blog_migrate/5a93288db96d50577d0c8368b68dced0.png)
注意payload为bind直连:
![](https://i-blog.csdnimg.cn/blog_migrate/616013f911ed4a7d2ca5fcd2be8ae76d.png)
然后将mterpreter会话迁移到一个64位进程中,加载mimikatz,然后抓取到域管的明文密码:zxcASDqw123!!
![](https://i-blog.csdnimg.cn/blog_migrate/f492de235d1c353a93e4d54bc4c7eca1.png)
ntlm hash拿来备用
![](https://i-blog.csdnimg.cn/blog_migrate/03c137ef1b38fd3a5e4ace58d0afecec.png)
⑥拿下域控:
1.通过ipconfig定位到dns服务器为192.168.93.10,域名为test.org,一般dns服务器就是域控
![](https://i-blog.csdnimg.cn/blog_migrate/54068e874676ad00a1d87e4c5fdf6d1f.png)
2.开启socks5代理:
![](https://i-blog.csdnimg.cn/blog_migrate/0f65268ae56f895eee8332c8ec481adc.png)
3.proxifier开启代理
![](https://i-blog.csdnimg.cn/blog_migrate/122cb6661afcf0fa9ec5c4d48a063793.png)
4.将psexec.exe添加代理规则
![](https://i-blog.csdnimg.cn/blog_migrate/9b3512075d01dd5dc94c87414c2364c5.png)
5.利用psexec拿到域控shell
![](https://i-blog.csdnimg.cn/blog_migrate/64931eea29bfa895cfe34a7a6dec83b3.png)
6.查找那份重要的文件,猜测为flag.txt
![](https://i-blog.csdnimg.cn/blog_migrate/7e661a4f180f3732a0cc5beebe6d865e.png)
成功获取flag
![](https://i-blog.csdnimg.cn/blog_migrate/fce077ef62a807cff586ff3c6939d7c8.png)
0x05 总结
①joomscan的使用,joomlaCMS后台模板getshell
②利用LD来bypass disable_functions
③拿到shell后的本机敏感文件收集
④脏牛提权+msf web_delivery上线
⑤使用msf进行横向移动,smb_version主机探测+smb爆破
⑥msf中psexec获取目标shell,mimikatz抓取域管明文密码
⑦msf搭建socks5代理+proxifier代理psexec进目标内网
⑧使用impacket下的psexec获取到域控的shell
分类:
内网渗透
<div id="blog_post_info">
0
0
<div class="clear"></div>
<div id="post_next_prev">
</div>