vulstack红队评估(三)

最新推荐文章于 2024-05-13 11:36:37 发布
最新推荐文章于 2024-05-13 11:36:37 发布
阅读量1k 收藏
点赞数
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45447309/article/details/106884875
版权

原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118679.html

 

一、环境搭建:

①根据作者公开的靶机信息整理

没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件

 

②虚拟机网卡设置

centos双网卡模拟内外网:

外网:192.168.1.110

内网:192.168.93.100

 

其他主机都是内网,仅主机模式:

内网:192.168.93.0/24

所有虚拟机默认挂起状态,开启就已经登陆了,配置好网卡后,互相ping测试一下,网络环境没问题就可以进行下一步了。

 

 

二、web层渗透:

0x01 前期信息收集:

①端口、服务探测

nmap 192.168.1.110 -T4 -A -sV

开启了80、22、3306端口,入手点就挺多了(ssh爆破、mysql爆破、http服务的web漏洞挖掘getshell等等...)

 

访问了一下80端口的http服务,是joomlaCMS搭建的

 

②站点扫描:

1.直接使用joomscan扫描一下

joomscan -u http://192.168.1.110/

 

 

发现版本为3.9.12,比较高,不太好搞...

 

2.发现两个比较重要的目录

后台登陆页面:

 

 

配置文件泄露:testuser / cvcvgjASD!@

 

 

0x02 漏洞利用getshell:

①尝试远程连接mysql,获取后台管理员密码

根据nmap的信息,扫描出3306是开放的,利用navicat连接一下,很顺利地连接上了

 

 

找到管理员user表,发现密码是加密的,具体怎么加密的不清楚,尝试解密,失败...

 

 

②添加后台管理员

因为joomlaCMS可以直接后台模板getshell,所以得想办法进入后台,但是默认的管理员用户密码又是未知的,那么我是不是可以直接往user表里面添加一个管理员?然后登陆不就好了吗,开始吧...

 

通过百度、谷歌大法,发现了官方的说明文档:

https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn

 

 

根据官方文档,添加一个admin2 / secret 的管理员,注意修改表前缀

 

可以看到已经添加成功了

 

 

利用新添加的管理员进行登陆,登陆成功

 

③模板getshell

 

 

点击New File,新建文件:

 

输入文件名:

 

写入一句话木马:

 

利用蚁剑连接webshell:

 

 

0x03 提权与本机信息收集

①bypass disable_functions

尝试执行命令,返回ret=127,毫无疑问就是disable_functions的限制了

 

通过phpinfo发现禁用了如下函数,目标是linux,并且没有禁用putenv函数,所以可以利用LD_PRELOAD绕过

 

把bypass_diablefunc.php和bypass_diablefunc_x64.so一并上传到同一目录,.so文件需要根据目标系统架构选择,然后访问bypass_diablefunc.php,poutpath必须是可写目录,构造如下payload:

http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/panda&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

 

查看ip信息,发现ip并不是centos的,看了下应该是ubuntu的,说明真正的web服务后端是在ubuntu上,通过centos做了个nginx反向代理解析到Ubuntu上了(百度了解了一下)

 

分析:当前ubuntu的权限太低...并且内核很高,不好提权,想执行socks代理的程序,都成问题,并且ubuntu是不出网的,那么我有没有办法拿到centos的权限呢?既然做了反代,那么我能否看一下bash历史记录,找到一些遗漏的信息呢?(结果不行..),然后就各种配置文件找、有权限看的文件都看一下,想找到有泄露的信息

 

②敏感文件泄露

最终在tmp目录下找到了个test.txt文件直接给出了一个用户和密码:

 

直接登陆centos,成功....

 

③脏牛提权

想要继续横向移动,最好就是能利用跳板机搭建socks代理,所以权限得够,查看centos的内核,发现在脏牛影响的范围内:

 

wget下载exp,并赋予执行权限

 

编译并执行exp

 

提权成功

 

0x04 横向移动

①msf上线

我这里使用web_delivery模块上线

 

目标主机上执行msf给出的命令即可上线

 

②添加路由

 

③存活主机探测

 

发现3台windows,并且存在TEST域环境

 

④直接继续爆破smb

注意密码字典的格式为:用户名 密码

 

⑤使用psexec登陆win2008

 

注意payload为bind直连:

 

然后将mterpreter会话迁移到一个64位进程中,加载mimikatz,然后抓取到域管的明文密码:zxcASDqw123!!

 

ntlm hash拿来备用

 

⑥拿下域控:

1.通过ipconfig定位到dns服务器为192.168.93.10,域名为test.org,一般dns服务器就是域控

 

2.开启socks5代理:

 

3.proxifier开启代理

 

4.将psexec.exe添加代理规则

 

5.利用psexec拿到域控shell

 

6.查找那份重要的文件,猜测为flag.txt

 

成功获取flag

 

0x05 总结

①joomscan的使用,joomlaCMS后台模板getshell

②利用LD来bypass disable_functions

③拿到shell后的本机敏感文件收集

④脏牛提权+msf web_delivery上线

⑤使用msf进行横向移动,smb_version主机探测+smb爆破

⑥msf中psexec获取目标shell,mimikatz抓取域管明文密码

⑦msf搭建socks5代理+proxifier代理psexec进目标内网

⑧使用impacket下的psexec获取到域控的shell

m0s30
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【精选】ATK&CK红队评估实战靶场一 超详细过程思路
人若无名,便可专心练剑
11-30 464
"护网行动"通常指的是针对网络安全和信息安全的行动。这种行动可能是由政府、组织或社区发起的,旨在保护网络系统和数据免受未经授权的访问、损坏或窃取。这些行动可能涉及加强网络防御、加强密码管理、加强安全意识培训以及制定相关法律法规。实施护网行动是确保网络安全的重要举措,以应对不断增长的网络威胁和攻击。
红队渗透打点工具-FindUpload
03-07
在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络系统中的文件上传点与登录框,从而加速...
vulstack红队评估(一)
PANDA墨森的博客
06-20 2519
一、环境搭建: 1、根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019 因为登陆前要修改密码,改为了panda666... 2、虚拟网卡网络配置: ①Win7双网卡模拟内外网: 外网:192.168.1.43,桥接模式与物理机相通 内网:192.168.52.143 还需要修改以下网络配置,将网段设置好 ②Win2003只有内网: 内网:192.168.52.138,仅主机模式 ③Win2008只有内网: 内网:19...
Vulstack红队评估(一)
最新发布
HUANGXIN9898的博客
05-13 1048
NTLM Hash是微软为了提高安全性的同时保证兼容性而设计的散列加密算法,NTLM Hash是基于MD4加密算法进行加密的。个人版从以后,服务器版从以后,windows操作系统的认证方式均为NTLM Hash。windows操作系统通常使用两种方法对用户的明文密码进行加密处理,一部分为LM-Hash,另一部分为NTLM-Hash。为了解决LM加密和身份验证方案中固有的安全弱点,微软于1993年在Windows NT 3.1中引入NTLM协议。
vulstack红队评估(五)
PANDA墨森的博客
06-22 949
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118352.html 一、环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: Win7: heart 123.com #本地管理员用户 sun\Administrator dc123.com #域管用户,改为了panda123.. Win2008: sun\admin 2020.com #由于需要改密码,我更改为panda666... ②虚拟机网卡设置 Wi...
vulstack红队评估(二)
PANDA墨森的博客
06-20 1541
一、环境搭建: 1、根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX 2、网络环境配置: ①Win2008双网卡模拟内外网: 外网:192.168.1.80,桥接模式与物理机相通 内网:10.10.10.80,仅主机模式 ②PC-win7只有内网: 内网:10.10.10.201,仅主机模式 ③win2012-DC只有内网: 内网:10.10.10.10,仅主机模式 启动web服务: 运行C:\Oracle\Middleware\u...
vulstack红队评估(四)
PANDA墨森的博客
06-21 1691
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118210.html 一、环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu win7: douser:Dotest123 Win2008 DC: administrator:Test2008,因为登陆要修改密码,所以改为了panda666... ②虚拟机网卡设置 ubuntu双网卡模拟内外网: 外网:192.168.1....
渗透靶场--vulnstack-红队评估实战(4)
weixin_45794666的博客
07-20 750
vulnstack-红队评估实战(4) 环境配置 web服务器 ubuntu:ubuntu 内网192.168.183.131 外网192.168.154.137 web服务需要自己启动分别为s2-045、CVE-2017-12615、cve-2018-12613 sudo su ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045 docker-compose up 域成员机器 douser:Dotest123 192.168.183.128 域控
渗透靶场--vulnstack-红队评估实战(2)
weixin_45794666的博客
07-20 1611
vulnstack-红队评估实战(2) 环境配置 攻击者: kali 192.168.154.129 windows 192.168.154.1 靶场: WEB:对外边界服务器 10.10.10.80 192.168.154.80 PC:域成员 192.168.154.201 10.10.10.201 DC:域控 10.10.10.10 1.外网主机信息搜集 nmap 扫描web服务器端口 发现开放了80和7001 80无内容,7001weblogic版本为10.3.6.0 直接上工具获得权限代
红队实战之VulStack-1
A_991128a的博客
08-14 202
这是我第二次做该靶场,第一次做的时候只采用了凭证传递的利用方式,并没有考虑 MS17-010漏洞利用,也没有采用隧道的方式来访问内网,经过这些天的考虑后我决定重做温习一遍,一是重新整理一下思路;二是锻炼一下内网渗透思路。当然在练习过程中我也遇到了许多问题,比如certutil.exe 怎么无法在 Windows Server 2003 中传递保存木马文件、FTP匿名登录漏洞如何通过代理登录利用等,显然这些问题在打靶记录中未直接体现。但它们对渗透思路的打磨有很大帮助。
红队攻防手册,红队攻防教程
04-20
红队攻防教程是指针对网络和系统安全的实践性培训,旨在模拟真实的攻击场景并提供相关的防御...事件分析和报告:经过一段时间的攻防活动后,红队和蓝队共同进行事件分析和总结,评估组织的安全性,提供详细的报告和建
GOBY 红队版 GOBY205REDTEAM-1288-POCS-by-hlop-orz-zen
11-16
【标题】"GOBY 红队版"指的是一个针对红队操作的工具包或软件版本,名为GOBY,特别标记为205REDTEAM,版本号为1288,由hlop_orz_zen进行POCS(Proof of Concept,概念验证)开发。这个版本可能是一个定制的安全测试...
红队虚拟机Ninjutsu.V3最新版8月26更新
11-13
红队虚拟机Ninjutsu.V3最新版8月26更新 Ninjutsutorrent-master,一款综合各种工具的渗透平台,通过强大的调整功能和优化来定制 Windows 10; 2020年11月8日更新V3版, win10专业版2004[19041.450]
红队测试指南RedTeam Testing Guide.pdf
08-12
红队测试指南
goby红队-x64-2.4.8(win和linux)
05-16
此外,由于 Goby 的设计理念是轻量化的可视化安全评估平台,可以更好的方便红队操作者进行复杂网络和应用程序的任务分析和攻击,进而提高攻击效率和成功率。 Goby 红队版的主要特点包括: 支持单个目标或整个网络...
实战攻防之红队视角下的防御体系突破.docx
08-23
实战攻防之红队视角下的防御体系突破
如何管理红队.pdf
10-06
在网络安全领域,红队是一种模拟攻击者行为的专业团队,用于测试和评估组织的安全防御能力。"如何管理红队.pdf" 这份文档可能详细介绍了如何有效地建立、组织和管理一个红队,以及如何进行渗透测试以揭示潜在的安全...
ATT\\\\&CK红队评估实战靶场
08-16
抱歉,我无法回答这个问题。我只能在提供的引用内容范围内提供答案。请您提供与红日靶场相关的引用内容,我将尽力为您提供答案。谢谢!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ATT&CK红队评估实战靶场(二)](https://blog.csdn.net/qq_53263789/article/details/115282950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [Windows系统——ATT&CK红队评估实战靶场(二)——CS方式](https://blog.csdn.net/qq_44029310/article/details/126039321)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值