tkcharlotte's blog

前言

红日安全的第三套靶场(http://vulnstack.qiyuanxuetang.net/vuln/detail/5/)。

一层

出网机器为web-centos,重新获取的ip10.1.0.8,攻击机kaliip10.1.0.7

扫描一下,开了80 3306 22 三个端口,访问80端口,

joomla cms,掏出joomscan扫一扫

3.9.12版本,比较新了,没有啥比较严重的洞,发现配置文件configuration.php~

本地连接网站数据库,在umnbt_user表中可以找到管理员的账号以及加密后的密码,尝试john本地跑一下哈希,未果..

换一个思路,既然有了数据库权限,我们可以直接更新管理员密码,本地搭建环境,获取已知明文的加密后的值.

进后台,修改模板getshell

Extensions -> Templates -> Templates ,点开Beez3 Details and Files New Files 创建php文件

路径为http://192.168.134.128/templates/beez3/html/shell.php

冰蝎连接之.

开启虚拟终端失败,在disable_functions中发现禁用了大部分执行命令的函数==

接下来的工作就是要绕过disable_function,通过LD_PRELOAD绕过,通过冰蝎上传.so文件

https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

尝试反弹shell,就是接收不到回连数据…

看了看当前IP192.168.93.120,并不是10.1.0.8,也就是说我们当前拿下的并不是cetnos机器,猜测centos只是个反向代理,真正服务部署在内网的ubuntu机器上。

ubuntu内核版本挺新的,木有啥提权的希望,暂时放弃,梳理思路,目前只有内网一台机器的www-data权限,无法提权,代理也不好上,先搜集一波信息,在/tmp/mysql/test.txt中发现一个wwwuser的用户名密码(哎哟 有点巧)

尝试登录centos,成功通过ssh连接到centos机器。内核是2.6.32的,符合脏牛影响范围,直接提到root权限。

在这台机器上没发现啥有用的信息,看了一下有两块网卡,内网ip192.168.93.100

####

内网

上代理,进内网,试了试ewtermite,缺几个文件跑不起来==,直接sshsocks代理

ssh -Nfg -D 3333 wwwuser@10.1.0.8

攻击机执行该命令,然后配置一下proxychains即可开启内网漫游。nmap扫描内网主机配合smb_version模块,得到以下有用信息。

1
2
3
4
5
6
7
8
9
10
11
12
13
192.168.93.10	2k12			[*] Windows 6.3 Build 9600 (name:WIN-8GA56TNV3MV) (domain:TEST)


192.168.93.20:445 WIN2008 // 1433 端口 [*] Windows 6.0 Build 6003 (name:WIN2008) (domain:TEST)


192.168.93.30 win7 [*] Windows 6.1 Build 7601 (name:WIN7) (domain:TEST)


192.168.93.100 //已知centos


192.168.93.120 //已知ubuntu

可能存在TEST域环境,扫描三台windows主机端口,没啥东西,ms17-010也不行,尝试使用已知的账号密码登录也不行,尝试爆破管理员密码,失败…

用跳板机中得到的mysql密码尝试登录mssql,成功登录,但不是sa权限,一些敏感操作做不了,xp_cmdshell也调用不了

收集mssql的信息

可以调用xp_fileexistxp_dirtree,对应的模块为mssql_ntlm_stealer,因为机器在内网,攻击机收不到返回的net ntlm hash,所以需要在跳板机上通过中间人的方式获取哈希。

centos上准备好Responder(centos6默认自带python2.6 需安装 2.7以及sqlite3 ),获取到2008的哈希

第一步要修改配置文件Responder.conf,关闭ResponderSMBHTTP服务.

python2.7 Responder.py -I eth1 -wrf

拿到的哈希为net-NTLM哈希,无法直接用于哈希传递,但可以通过中继的方式达到与传递类似的目的与效果

中继的前提是目标的SMB签名需要关闭,而server版本一般都是开启的,而单机系统不会,可以用nmap扫描确定一下

nmap -Pn -sT -p 445 --open --script smb-security-mode.nse,smb-os-discovery.nse 192.168.93.0/24

win7默认没开签名,我们可以中继它.

centos上开两个终端,一个运行python2.7 Responder.py -I eth1 -rv

另一个终端运行python2.7 Multirelay.py -t 192.168.93.30 -u ALL

如果中继的用户权限较高,中继成功的话会返回一个shell

mimi sekurlsa::logonpasswords 抓取哈希,如果抓不到明文,也可以哈希传递

直接抓到本地管理员明文,用该密码登录win2008 继续抓哈希,

1
proxychains psexec.py 'Administrator:123qwe!ASD@192.168.93.20' cmd

powershell下载文件 ,抓取哈希

1
%windir%/sysnative/WindowsPowerShell/v1.0/powershell.exe -ExecutionPolicy Bypass Import-Module .\mimi.ps1;Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonPasswords full"'

可以直接抓到域管的明文密码,连上域控,该干啥干啥咯

中继动静有点大… 学习为主… :)

参考链接

https://xz.aliyun.com/t/6988/

https://github.com/FireFart/dirtycow/blob/master/dirty.c

https://4hou.win/wordpress/?p=24627

https://klionsec.github.io/2016/07/23/llmnr-wpad/

http://drops.xmd5.com/static/drops/tips-11107.html

https://www.ivoidwarranties.tech/posts/pentesting-tuts/cme/crackmapexec/

https://www.ivoidwarranties.tech/posts/pentesting-tuts/responder/windows-pwnage/

https://byt3bl33d3r.github.io/getting-the-goods-with-crackmapexec-part-1.html

 评论


载入天数...载入时分秒... | 字数统计:18.1k