网络拓扑
log4j2 rce
nmap端口扫描
访问38080,spring框架,梭哈了以下spring4shellscan,没东西,靶机作者这里是直接设置的payload参数,所以这个点仁者见仁,真实环境中有可能有log4j2日志交互的地方都可以试试
利用jndi工具进行测试,工具地址:https://github.com/WhiteHSBG/JNDIExploit
尝试了fuzz dns判断利用链,dns没有出来,直接启监听可以来(侧面印证了dns不出网不代表tcp不出网,而ldap又是基于tcp的),所以利用链直接盲打
命令执行后发现是docker环境
没有找到逃逸的方法,逃逸参考:浅析docker的多种逃逸方法-腾讯云开发者社区-腾讯云 (tencent.com)
find查找,敏感文件在/root/flag.txt(真实环境可以更换一些关键字,例如pass,bak等等,或者慢慢翻目录)
find / -name "*flag*"
利用查找到的凭据尝试ssh远端登陆
网卡信息
内网ping主机发现
for i in {2..254};do ping -c 1 -W 2 10.0.1.$i | grep from;done > ping_result.txt
win7跳板
socks5代理+端口扫描,工具地址:GitHub - jqqjj/socks5: (支持UDP和TCP的纯Go/Golang socks5服务器) socks5 proxy server builds with go/golang, which UDP and TCP are supported.
msf设置全局代理后,ms17-010盲打,反向shell没有打出来,使用正向shell
查看进程信息
尝试抓取明文密码,报错参考:msf 使用mimikatz获取明文密码过程中报错Retrieving wdigest credentials_mimikatz获取密码失败_Sweelg的博客-CSDN博客
明文密码抓取
试了psexec的几个脚本,没有成功,对这个利用也不太熟,后续慢慢尝试,边学边用,先继续使用ms17-010
第一次使用的ms17-010不稳定,换个方式,只执行命令,参考:内网渗透之ms17-010 - FreeBuf网络安全行业门户
网卡信息
尝试执行powershell写一个文件,采用-enc参数base64(UTF-16LE 1200)执行,避免特殊符号影响
定位域控
msf ms17-010+设置代理,备注一下:这里后面发现反向shell虽然出不来,但是win7能访问到外面的linux服务,所以按自己习惯来说,应该是会优先做端口转发和代理来后渗透的,但是没找到顺手的端口转发工具,实战不太推荐直接打这种方式,动静可能太大了
域控
正常来讲,内网的day如果有可能都可以尝试,自己打靶是为了熟悉内网测试手段以及了解常用day,所以有点看着答案做题的感觉。
CVE-2021-42278 and CVE-2021-42287
参考:超详细!CVE-2021-42287 权限提升漏洞 - FreeBuf网络安全行业门户
获取域名信息
msf设置本地代理,noPac脚本利用,脚本地址:GitHub - Ridter/noPac: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user
参考链接
官方公众号参考
从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC (qq.com)
原文始发于微信公众号(513 Sec):writeup-渗透攻击红队域渗透靶场-2(redteam.lab)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论