vulstack红队评估(三)

简介: 一共是5台机器,目标是拿下域控获取flag文件

一、环境搭建:

①根据作者公开的靶机信息整理

没有虚拟机密码,纯黑盒测试...一共是5台机器,目标是拿下域控获取flag文件

 

②虚拟机网卡设置

centos双网卡模拟内外网:

外网:192.168.1.110

内网:192.168.93.100

 

其他主机都是内网,仅主机模式:

内网:192.168.93.0/24

所有虚拟机默认挂起状态,开启就已经登陆了,配置好网卡后,互相ping测试一下,网络环境没问题就可以进行下一步了。

 

 

二、web层渗透:

0x01 前期信息收集:

①端口、服务探测


nmap 192.168.1.110 -T4 -A -sV


开启了80、22、3306端口,入手点就挺多了(ssh爆破、mysql爆破、http服务的web漏洞挖掘getshell等等...)

 

访问了一下80端口的http服务,是joomlaCMS搭建的

 

②站点扫描:

1.直接使用joomscan扫描一下


joomscan -u http://192.168.1.110/


 

发现版本为3.9.12,比较高,不太好搞...

 

2.发现两个比较重要的目录

后台登陆页面:

 

 

配置文件泄露:testuser / cvcvgjASD!@

 

 

0x02 漏洞利用getshell:

①尝试远程连接mysql,获取后台管理员密码

根据nmap的信息,扫描出3306是开放的,利用navicat连接一下,很顺利地连接上了

 

 

找到管理员user表,发现密码是加密的,具体怎么加密的不清楚,尝试解密,失败...

 

 

②添加后台管理员

因为joomlaCMS可以直接后台模板getshell,所以得想办法进入后台,但是默认的管理员用户密码又是未知的,那么我是不是可以直接往user表里面添加一个管理员?然后登陆不就好了吗,开始吧...

 

通过百度、谷歌大法,发现了官方的说明文档:

https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn

 

 

根据官方文档,添加一个admin2 / secret 的管理员,注意修改表前缀

 

可以看到已经添加成功了

 

 

利用新添加的管理员进行登陆,登陆成功

 

③模板getshell

 

 

点击New File,新建文件:

 

输入文件名:

 

写入一句话木马:

 

利用蚁剑连接webshell:

 

 

0x03 提权与本机信息收集

①bypass disable_functions

尝试执行命令,返回ret=127,毫无疑问就是disable_functions的限制了

 

通过phpinfo发现禁用了如下函数,目标是linux,并且没有禁用putenv函数,所以可以利用LD_PRELOAD绕过

 

把bypass_diablefunc.php和bypass_diablefunc_x64.so一并上传到同一目录,.so文件需要根据目标系统架构选择,然后访问bypass_diablefunc.php,outpath必须是可写目录,构造如下payload:



http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/panda&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

 

查看ip信息,发现ip并不是centos的,看了下应该是ubuntu的,说明真正的web服务后端是在ubuntu上,通过centos做了个nginx反向代理解析到Ubuntu上了(百度了解了一下)

 

分析:当前ubuntu的权限太低...并且内核很高,不好提权,想执行socks代理的程序,都成问题,并且ubuntu是不出网的,那么我有没有办法拿到centos的权限呢?既然做了反代,那么我能否看一下bash历史记录,找到一些遗漏的信息呢?(结果不行..),然后就各种配置文件找、有权限看的文件都看一下,想找到有泄露的信息


②敏感文件泄露

最终在tmp目录下找到了个test.txt文件直接给出了一个用户和密码:


直接登陆centos,成功....


③脏牛提权

想要继续横向移动,最好就是能利用跳板机搭建socks代理,所以权限得够,查看centos的内核,发现在脏牛影响的范围内:

 

wget下载exp,并赋予执行权限

 

编译并执行exp

 

提权成功

 

 

 

0x04 横向移动

①msf上线

我这里使用web_delivery模块上线

 

 

目标主机上执行msf给出的命令即可上线

 

 

②添加路由

 

③存活主机探测

 

发现3台windows,并且存在TEST域环境

 

④直接继续爆破smb

注意密码字典的格式为:用户名 密码

 

⑤使用psexec登陆win2008

 

注意payload为bind直连:

 

然后将mterpreter会话迁移到一个64位进程中,加载mimikatz,然后抓取到域管的明文密码:zxcASDqw123!!

 

ntlm hash拿来备用

 

⑥拿下域控:

1.通过ipconfig定位到dns服务器为192.168.93.10,域名为test.org,一般dns服务器就是域控

 

2.开启socks5代理:

 

3.proxifier开启代理

 

4.将psexec.exe添加代理规则

 

5.利用psexec拿到域控shell

 

 

6.查找那份重要的文件,猜测为flag.txt

 

成功获取flag

 

 

0x05 总结

①joomscan的使用,joomlaCMS后台模板getshell

②利用LD来bypass disable_functions

③拿到shell后的本机敏感文件收集

④脏牛提权+msf web_delivery上线

⑤使用msf进行横向移动,smb_version主机探测+smb爆破

⑥msf中psexec获取目标shell,mimikatz抓取域管明文密码

⑦msf搭建socks5代理+proxifier代理psexec进目标内网

⑧使用impacket下的psexec获取到域控的shell

目录
相关文章
|
数据格式
Front Immunol 复现 | 4. 使用estimate包评估肿瘤纯度
Front Immunol 复现 | 4. 使用estimate包评估肿瘤纯度
723 0
Front Immunol 复现 | 4. 使用estimate包评估肿瘤纯度
|
1月前
|
并行计算 算法 安全
Bulletproof范围证明之优化
【11月更文挑战第9天】Bulletproof 是一种高效的零知识证明技术,广泛应用于加密货币等领域,用于证明交易金额在合法范围内而不泄露具体数值。本文介绍了 Bulletproof 的基本概念及其在算法、计算资源利用和协议交互等方面的优化方向,探讨了不同应用场景下的优化需求及面临的安全性和兼容性挑战。
|
6月前
|
机器学习/深度学习 JSON 测试技术
CNN依旧能战:nnU-Net团队新研究揭示医学图像分割的验证误区,设定先进的验证标准与基线模型
在3D医学图像分割领域,尽管出现了多种新架构和方法,但大多未能超越2018年nnU-Net基准。研究发现,许多新方法的优越性未经严格验证,揭示了验证方法的不严谨性。作者通过系统基准测试评估了CNN、Transformer和Mamba等方法,强调了配置和硬件资源的重要性,并更新了nnU-Net基线以适应不同条件。论文呼吁加强科学验证,以确保真实性能提升。通过nnU-Net的变体和新方法的比较,显示经典CNN方法在某些情况下仍优于理论上的先进方法。研究提供了新的标准化基线模型,以促进更严谨的性能评估。
174 0
|
7月前
|
安全 Linux Android开发
【答案】2023年国赛信息安全管理与评估二阶段答案
【答案】2023年国赛信息安全管理与评估二阶段答案
【答案】2023年国赛信息安全管理与评估二阶段答案
更好的进行决策与判断
更好的进行决策与判断
75 0
|
安全 Ubuntu Shell
vulstack红队评估(四)
根据作者公开的靶机信息整理
194 0
|
存储 安全 网络协议
[内网渗透]vulstack红队评估(一)
根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019 因为登陆前要修改密码,改为了panda666...
217 0
|
安全 Oracle 网络协议
[内网渗透] vulstack红队评估(二)
根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX
182 0
|
安全 网络协议 网络安全
[ 内网渗透 ] vulstack红队评估(五)
根据作者公开的靶机信息整理
138 0
|
安全 Shell 网络安全
VulnStack-01 ATT&CK红队评估(二)
VulnStack-01 ATT&CK红队评估
284 0
VulnStack-01 ATT&CK红队评估(二)