vulstack紅隊評估(三)

一、環境搭建：

①根據作者公開的靶機信息整理

沒有虛擬機密碼，純黑盒測試...一共是5台機器，目標是拿下域控獲取flag文件

 

②虛擬機網卡設置

centos雙網卡模擬內外網：

外網：192.168.1.110

內網：192.168.93.100

 

其他主機都是內網，僅主機模式：

內網：192.168.93.0/24

所有虛擬機默認掛起狀態，開啟就已經登陸了，配置好網卡后，互相ping測試一下，網絡環境沒問題就可以進行下一步了。

 

 

二、web層滲透：

0x01 前期信息收集：

①端口、服務探測：

nmap 192.168.1.110 -T4 -A -sV

開啟了80、22、3306端口，入手點就挺多了(ssh爆破、mysql爆破、http服務的web漏洞挖掘getshell等等...)

 

訪問了一下80端口的http服務，是joomlaCMS搭建的

 

②站點掃描：

1.直接使用joomscan掃描一下

joomscan -u http://192.168.1.110/

 

 

發現版本為3.9.12，比較高，不太好搞...

 

2.發現兩個比較重要的目錄

后台登陸頁面：

 

 

配置文件泄露：testuser / cvcvgjASD!@

 

 

0x02 漏洞利用getshell：

①嘗試遠程連接mysql，獲取后台管理員密碼

根據nmap的信息，掃描出3306是開放的，利用navicat連接一下，很順利地連接上了

 

 

找到管理員user表，發現密碼是加密的，具體怎么加密的不清楚，嘗試解密，失敗...

 

 

②添加后台管理員

因為joomlaCMS可以直接后台模板getshell，所以得想辦法進入后台，但是默認的管理員用戶密碼又是未知的，那么我是不是可以直接往user表里面添加一個管理員？然后登陸不就好了嗎，開始吧...

 

通過百度、谷歌大法，發現了官方的說明文檔：

https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn

 

 

根據官方文檔，添加一個admin2 / secret 的管理員，注意修改表前綴

 

可以看到已經添加成功了

 

 

利用新添加的管理員進行登陸，登陸成功

 

③模板getshell

 

 

點擊New File，新建文件：

 

輸入文件名：

 

寫入一句話木馬：

 

利用蟻劍連接webshell：

 

 

0x03 提權與本機信息收集

①bypass disable_functions

嘗試執行命令，返回ret=127，毫無疑問就是disable_functions的限制了

 

通過phpinfo發現禁用了如下函數，目標是linux，並且沒有禁用putenv函數，所以可以利用LD_PRELOAD繞過

 

把bypass_diablefunc.php和bypass_diablefunc_x64.so一並上傳到同一目錄，.so文件需要根據目標系統架構選擇，然后訪問bypass_diablefunc.php，poutpath必須是可寫目錄，構造如下payload：

http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/panda&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

 

查看ip信息，發現ip並不是centos的，看了下應該是ubuntu的，說明真正的web服務后端是在ubuntu上，通過centos做了個nginx反向代理解析到Ubuntu上了(百度了解了一下)

 

分析：當前ubuntu的權限太低...並且內核很高，不好提權，想執行socks代理的程序，都成問題，並且ubuntu是不出網的，那么我有沒有辦法拿到centos的權限呢？既然做了反代，那么我能否看一下bash歷史記錄，找到一些遺漏的信息呢？(結果不行..)，然后就各種配置文件找、有權限看的文件都看一下，想找到有泄露的信息

 

 

②敏感文件泄露

最終在tmp目錄下找到了個test.txt文件直接給出了一個用戶和密碼：

 

 

直接登陸centos，成功....

 

 

③臟牛提權

想要繼續橫向移動，最好就是能利用跳板機搭建socks代理，所以權限得夠，查看centos的內核，發現在臟牛影響的范圍內：

 

wget下載exp，並賦予執行權限

 

編譯並執行exp

 

提權成功

 

 

 

0x04 橫向移動

①msf上線

我這里使用web_delivery模塊上線

 

 

目標主機上執行msf給出的命令即可上線

 

 

②添加路由

 

③存活主機探測

 

發現3台windows，並且存在TEST域環境

 

④直接繼續爆破smb

注意密碼字典的格式為：用戶名 密碼

 

⑤使用psexec登陸win2008

 

注意payload為bind直連：

 

然后將mterpreter會話遷移到一個64位進程中，加載mimikatz，然后抓取到域管的明文密碼：zxcASDqw123!!

 

ntlm hash拿來備用

 

⑥拿下域控：

1.通過ipconfig定位到dns服務器為192.168.93.10，域名為test.org，一般dns服務器就是域控

 

2.開啟socks5代理：

 

3.proxifier開啟代理

 

4.將psexec.exe添加代理規則

 

5.利用psexec拿到域控shell

 

 

6.查找那份重要的文件，猜測為flag.txt

 

成功獲取flag

 

 

0x05 總結

①joomscan的使用，joomlaCMS后台模板getshell

②利用LD來bypass disable_functions

③拿到shell后的本機敏感文件收集

④臟牛提權+msf web_delivery上線

⑤使用msf進行橫向移動，smb_version主機探測+smb爆破

⑥msf中psexec獲取目標shell，mimikatz抓取域管明文密碼

⑦msf搭建socks5代理+proxifier代理psexec進目標內網

⑧使用impacket下的psexec獲取到域控的shell