[限时投稿]ATT&CK红队评估实战靶场(三)

2768905967   ·   发表于 2021-08-20 22:08:01   ·   技术文章

靶场描述

基本信息

作者:licong

环境配置

打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。

挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。

除重新获取ip,不建议进行任何虚拟机操作。

参考虚拟机网络配置,添加新的网络,该网络作为内部网络。

注:名称及网段必须符合上述图片,进行了固定ip配置。

描述

目标:域控中存在一份重要文件。

本次环境为黑盒测试,不提供虚拟机账号密码。

利用漏洞进入内网

端口扫描

弱口令检测

连接数据库

看到有joomla库,猜测有joomlaCMS

dirsearch扫一下目录
访问/administrator/目录

到数据库查看管理员账户密码尝试登录,失败 密码解密不出来

尝试重置管理员账户密码

官方文档:https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn

重置管理员密码

根据官方文档做出调整,否则无法修改

调整为:

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

新管理员账户admin2 密码解密后 secret

文件上传getshell

在Extensions -> Templates -> Templates可以编辑模板文件

小马的位置在templates/beez3目录下,可以自己搭建cms了解一下

注意,这里有细节!!小马的名字要是nf.php

连接蚁剑

命令执行不了,但文件管理处任然可以操作

看来是disable_functions的限制了,在之前的dirsearch扫描时看到了phpinfo的信息

果然是使用了disable_functions

我们利用 LD_PRELOAD 环境变量绕过

github下载地址https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

把bypass_diablefunc.php和bypass_diablefunc_x64.so一起上传到一个目录下

访问http://192.168.3.23/templates/beez3/bypass_diablefunc.php?cmd=whoami&outpath=/tmp/baji&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

在cmd传参后执行系统命令

查看ip地址,发现没有192.168.3.23的ip地址

猜测使用了反向代理,而当前能命令执行的机子又是不出网的

敏感信息泄露

在启用反向代理的主机文件里发现了账户和密码

而刚好之前扫描出了22端口,尝试ssh远程连接
成功连接上之后发现时普通用户权限,尝试脏牛提权

github下载地址
https://github.com/FireFart/dirtycow

提权成功,通过反弹上线msf

开启apache服务,靶机wget下载木马连接msf

拿下反向代理的ubuntu

之前能够完成命令执行的机子,我花那么多功夫在他身上,怎么能拿不到shell呢?

之前苦于连接不通,现在有centos作为跳板就可以用木马连上了,我实验啊能连上的时候忘记截图了。。。

我用的是venom和proxychains完成连接的

内网渗透拿下域控

添加路由,use auxiliary/scanner/portscan/tcp进行内网信息收集


192.168.93.20开启了445端口

爆破密码

得到密码123qwe!ASD

下载wmi工具使用psexec登录到192.168.93.20

wmi工具的安装

下载地址:https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

git clone https://github.com/CoreSecurity/impacket.git

cd impacket/

pip install .  (pip install . 两个空格)(若pip安装出错,尝试apt install gcc-9-base ,重新下载apt-get install python-pip)

使用msf上的psexec工具会出很多问题

到example目录下

执行 proxychains python3 wmiexec.py -debug 'administrator:123qwe!ASD@192.168.93.20'

mimikatz获取账号密码

用smbclient配合proxychain来上传mimikatz

抓取到密码zxcASDqwe123!!

拿下域控

域控开了445端口,可以用psexec配合抓取到的密码拿下域控shell

靶场地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

用户名金币积分时间理由
Track-聂风 25.00 0 2021-08-24 14:02:43 限时投稿
Track-手电筒 50.00 0 2021-08-24 14:02:24 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 1个月前 | 409 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者