网站建设蘑菇街,微交易网站建设,无备案网站微信,天眼查网站其实#xff0c;不知道大家有没有想过#xff0c;我们之前练习的都是web机器是windows的版本#xff0c;但是其实#xff0c;在现实生活中#xff0c;服务器一般都是Linux的版本#xff0c;根本不可能用到windows的版本 那么如果是Linux的话#xff0c;我们就有很多的困…其实不知道大家有没有想过我们之前练习的都是web机器是windows的版本但是其实在现实生活中服务器一般都是Linux的版本根本不可能用到windows的版本 那么如果是Linux的话我们就有很多的困难比如说Linux的木马cs没有插件能上线Linux
IPC横向移动 有一些代理工具不支持Linux 这时候困难就出现了但是没事
道高一尺魔高一丈我们一起来看看怎么打 声明本次的靶场来自于红日的vulstack靶场课件内容来自于万里老师 目录 1.拿下Linux服务器
1.Struts2-045
2.Tomcat 8.5.19 _CVE-2017-12615
3.CVE-2018-12613
4.Docker逃逸
1.Dirty Cow逃逸
2.特权模式逃逸
3.通过写入技术写入特权账号
5.通过木马上线Ubuntu
2.拿下内网的Win7
1.内网信息收集
2.用EW搭建隧道
3.拿下DC域控
MS14-068
总结 以下是本次实验拓扑 1.拿下Linux服务器
首先它的Linux服务器开了三个docker服务wanli老师分别用御剑扫出来了三个端口
2001 struts2 2002tomcat 2003phpmyadmin
1.Struts2-045
首先它是访问了2001端口 通过f12在代码种找到了 Sruts2的框架 然后就是用struts2的漏扫工具去扫了然后就能发现是存在对应的漏洞 而且whoami的返回值是一个root说明很有可能是一个Linux的服务器但是不管怎么样rce文件上传都是可以了的这样就已经算是把第一个靶机拿下了~~
2.Tomcat 8.5.19 _CVE-2017-12615
然后他就是能访问到了tomcat的页面 而对于这个版本是存在文件上传的 甚至只用做两步
将POST格式改成PUT格式 并且添加一个 /wanli.jsp/的目录然后将jsp木马内容粘贴到post包内
这个应该是一个解析漏洞吧之前没见过不管咋地反正就是getshell了 3.CVE-2018-12613
这个就有点逆天了直接访问可以免密码登录现实生活中怎么可能 然后这个靶场是存在文件包含的漏洞的通过构造poc可以看见它的用户信息 于是就可以写shell进去了
至此三个靶场都被拿下了
4.Docker逃逸
上面也说到了他是一个Linux的服务器那么既然能够RCE那么我们就可以尝试一下信息收集 正常来说ifconfig是可以看见网卡信息的但是 可能是受限于docker的环境所以没有ifconfig的命令 ip addr //可以换成这个命令 所以我们在看见ifconfig用不了的时候我们就可以去想一下是不是docker环境
ls -a
用这个命令看一下能否看见 .docker.env这个隐藏文件或者
cat /proc/1/cgroup 如果是docker环境那么就要docker逃逸
1.Dirty Cow逃逸 dirty cow漏洞可以让我们获取只读内存的写的权限我们首先利用dirty cow漏洞写入一段shellcode到VDSO映射的一段闲置内存中然后改变函数的执行顺序使得调用正常的任意函数之前都要执行这段shellcode。这段shellcode初始化的时候会检查是否是被root调用如果是则继续执行如果不是则接着执行clock_gettime函数接下来它会检测/tmp/.X文件的存在如果存在则这时已经是root权限了然后它会打开一个反向的TCP链接为Shellcode中填写的ip返回一个Shell。\n\n这种利用方法利用成功的前提是宿主机的内核有dirty cow漏洞。 但是在操作的过程中就发现了一下问题
git命令使用不了虽然可以上传脚本make命令用不了这基本上就说明了这个漏洞是不存在的ping 百度 8.8.8.8也ping不通apt install || update肯定是不行的
所以不管存不存在这个漏洞肯定是利用不了的
2.特权模式逃逸 使用特权模式启动容器可以获取大量设备文件访问权限。因为当管理员执行docker run —privileged时Docker容器将被允许访问主机上的所有设备并可以执行mount命令进行挂载。 所以我们可以先用这个命令判断一下
fdisk l
如果能看见如下的情况基本上就可以逃逸了 然后就是要挂载了原理就是将Linux的根目录挂载到我们自己的目录下然后我们呢在自己的目录下操作就等于直接在Linux的bash下操作
mkdir wanli 创建成功
然后就是挂载了
mount /dev/sda1 wanli //将Linux的根目录挂载到wanli目录下
然后就是去查看一下是否挂载成功了 okay 那么我们现在能查看系统文件了但是我们还想远程上去捏
3.通过写入技术写入特权账号
我们的想法就是创建一个特权用户在此之前先来普及一些知识
cat /etc/passwd username : password : UserID : GroupID : comment : home directory : shell 用户名 密码 用户表示符 组标识符 注释性描述 主目录 登陆的shell 然后就是下一个命令了
cat /etc/shadow //影子文件 用户名加密密码最后一次修改时间最小修改时间间隔密码有效期密码需要变更前的警告天数密码过期后的宽限时间账号失效时间保留字段 那么了解完以上的知识之后我们就可以开始操作了
我们可以先写入以下两条命令顺便来解释一下 第一行命令就是追加一个wanli账号并且具有root的权利第二行就是创建wanli的密码并且写入 /etc/shadow 文件其中的密码其他直接照搬root的就好了对于密码我们可以自己先去创建一个账号然后再去看影子文件然后照搬那个密码就好了
至此我们就得到了一个root的账户但是我们会发现这样的一个问题虽然有这个账号但是是ssh不上的 这里可能是禁止了root账户的远程登录
咋办呢汗流浃背了
但是还是那句话道高一尺魔高一丈 我们可以先创建一个普通用户然后以普通用户的身份ssh连接然后再 su wanli就好了 可以看见成功完成dokcer逃逸拿下Ubuntu的bash 5.通过木马上线Ubuntu
那既然都能get实体shell了那我们肯定是要上线cs或者msf啦
但是又遇到问题了cs上线Linux 这又要去某hub上下载插件了呀
那我肯定不想啊但是msf能上线Linux msf也集成了一键生成木马不过记得它的后缀名字是elf哦 生成之后我们就可以部署一个http服务同一网段然后让Ubuntu去下载 然后去Ubuntu中的shell去执行下载木马的命令 然后就是去Msfconsole监听就好 记得该权限然后运行就好 至此我们就拿下了第一台Web_Linux机器了
2.拿下内网的Win7
虽然这里它最后是失败了但是还是对我们来说能产生一定的思考和收获的
1.内网信息收集
进到内网肯定是先进行信息收集能发现还有一个网卡 那么就可以去扫描可以写shell脚本实现域内探测主机不过麻烦了我们直接上传fscan一键探测 其中130 是DC 128是域内主机而且都存在ms17-010
2.用EW搭建隧道
那么就算发现内网存在漏洞那也没有用捏流量出不来
所以我们就要搭建隧道了
这里用的EW我在以前讲过确实挺强大的确实挺不错的主要是比frp简单 然后这里它用的是正向连接上传EW到Linux服务器然后用启用socks5代理让kali正向连接1080端口这样就通过Ubuntu的1080端口我们就打通了一条进入内网的隧道 其实这里用正向连接还是反向连接主要要看目标出不出网以及防火墙对流量的过滤情况
还是那句话视情况而定 这样就开启了Ubuntu上的8765端口等待我们kali去连接 修改以下 /etc/proxychains4.conf 这个文件让我们以后的流量直接走socks5 Ubuntu代理
至此我们可以利用kali来渗透内网啦msf直接走起 一套流程下来竟然是如此熟悉 但是网安的魅力总在与其多变性在这里就算是能扫描出来这个漏洞但是也是攻击不上 这是我之前的也是发现会出现此类情况即使能检测出漏洞但是也是攻击不成功
当然了wanli老师在这里也是使用了其他的解决方法
1. 更换payload毕竟我们连进去用的也是正向连接但是永恒之蓝是用的反向连接
set payload windows/meterpreter/bind_tcp 但是还是打不通
2.更换永恒之蓝的利用版本 但是非常可惜就算是尝试了所有的版本的永恒之蓝也是打不进去 也许这就是红队的魅力吧不断遇到问题不断解决问题
这里他就没有展示别的攻击方法了手动上线了一波 这样也算是勉勉强强地拿下来域内地一台Windows7了吧
3.拿下DC域控
既然我们都拿下了域内的机器了那就横向移动咯
这里我们不用IPC 不用psexec 不用wmic 这些。来尝试一下漏洞利用
MS14-068
当然了这个漏洞和黄金票据白银票据那些有些像都算是一种PTT的攻击域内攻击老多了像什么 PTH PTT PTC 等等等等不列举了但是他不需要去知道krbtgt的hash
这个漏洞不需要拿到 Krbtgt 或者 服务账号的ntlm hash 但是需要DC没有打补丁
以下是它的原理 该漏洞最本质的地方在于Microsoft Windows Kerberos KDC无法正确检查Kerberos票证请求随附的特权属性证书PAC中的有效签名这里面的签名就是上面提到的服务检验和以及KDC校验和。导致用户可以自己构造一张PAC。 签名原本的设计是要用到HMAC系列的checksum算法也就是必须要有key的参与我们没有krbtgt的hash以及服务的hash就没有办法生成有效的签名但是问题就出在实现的时候允许所有的checksum算法都可以包括MD5。那我们只需要把PAC 进行md5就生成新的校验和。这也就意味着我们可以随意更改PAC的内容完了之后再用md5 给他生成一个服务检验和以及KDC校验和。 不知道大家还记不记得以前我讲的白银票据 为了防止白银票据Microsoft引进了PAC PACPrivilege Access Certificate 在TGT里面包含PAC,PAC包含用户的sid用户所在的组 在白银票据中有些服务并没有验证PAC这一步这也是白银票据能成功的前提但是如果加入了验证服务的这一步呢 那么白银票据是不是就失败了而且只有KDC能制作PAC
难道就要束手无策了吗 那肯定不是捏
于是这里就是MS14-068 的魅力了
首先检测有没有打补丁如果打了基本上就没有机会了在域控上检查哦
systeminfo | find KB3011780 如果没有打补丁的话
那么就可以进行攻击啦
whoami /user //这个可以查看它的sid值
然后就是用工具伪造一张TGT 伪造完TGT之后就是要将他写入内存里了首先确保当前是无法访问到DC上的
首先将本机的票据清除
mimikatz.exe kerberos::list //查看当前票据信息
mimikatz.exe kerberos::purge可以看见是成功清除票据信息的
然后将刚才生成的TGT写入内存中 然后此时我们就可以看见我们能够访问到域控的C盘了 接下来就是利用Psexec这样的工具拿下它的shell了这里我还没学 总结
对于这一次的vulstack靶场环境还是比较真实的还原了企业内部的环境的就web机器来说
其中遇到的问题也是比较贴切生活的像用的Linux服务器cs存在对应的限制msf上线不成功proxychains的摇曳等等等等都是现实生活中会遇到的众多的问题总之还是那句话 学海无涯学无止境cease to live ,cease to struggle !!!
