九月红队考核 ack123靶场第三篇

admin
admin
admin
102157
文章
87
评论
2021年10月11日17:21:06九月红队考核 ack123靶场第三篇已关闭评论481 views字数 2341阅读7分48秒阅读模式
九月红队考核ack123靶场第三篇
图片
暗月渗透测试培训出师靶场的第三篇
九月出师人数共七人共七篇文章
目前第三篇
图片

1
主要考点

1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权
每三个月一次考核,每个项目根据当前流行的技术进行适当的调整。
项目综合考核渗透测试能力,培养单兵作战的安全选手。

图片

2
培训咨询

需要渗透测试培训 欢迎添加好友咨询

图片

3
过程

之前一直连日打hw,不停的在刷一些低质量的报告,搞得整个人有些心烦意乱。正巧月师傅搞了个新靶场,乘着中秋假日,队友不注意的时候,果断摸了一天🐟,来看看靶场。

外围打点-Web1

老规矩,开头一个站。

图片

随手一个/admin,后台管理页面,可以注册,注册用户登录

图片

找了一圈,没有发现上传点,但是看到右下角有个Ueditor1.4.3.net+ueditor,要素get。这也是老熟人了,但是试了一圈路径,没找到,于是只能去官方把源码下了回来

图片

翻了一下,果然有这个页面。访问一下

图片

看到这知道稳了,直接getshell

图片

然后发现权限也太低了,而且这里出现了一堆超出我认知范围的问题。

例如,下午传的aspx可以解析,晚上的就不行,而且有时候可以执行命令,有的时候不能。推测是存在360拦截cmd.exe的调用。所以直接上大马。

图片

然后发现很多目录都不可读写,于是掏出上古神器。找了个可读写目录,传了个免杀马,给上线到CS上,方便后续操作。

图片

再之后就是看补丁,找可以用的EXP,然后一把梭提权到system

图片

整体来说,Web1这个入口难度适中,中间主要的问题还是360全家桶。

数据库服务器-DB1

拿下外围后,思考了一波后续,HW的套路就是翻数据库账号,因为管理员用户也有100分,因为有源码了,所以就从官方文档中查了一下配置文件位置,直达要害。

这里有个很坑的点,冰蝎的马,目录没有权限读写,就不展示内容了,但是我记得蚁剑是可以的,不过也看不了文件内容。

图片

于是还是用大马,翻了一下配置文件。

图片

一进来就发现是sa账号,那就很舒服了,至少也可以拿到一个低权限的shell

当时因为靶场出了问题,大马不能正常使用,只能用cssocks4代理进内网,连上数据库看了一下用户。

图片

然后就是先用免杀马上线到CS上,再提权到system

图片

到这里一路都很顺利,虽然遇到360、火绒之类的,但是都是工作中太常见不过的杀软了,所以没造成太大困扰。

横向渗透-Web2

紧接着,通过端口扫描发现另一台Web主机,是Web2,之前就在群里听别人聊JWT,而且左上角有提示。所以心里有数,大抵就是JWT爆破

图片

也好办,抓包

图片

确实是JWT,那就上jwt_tools爆破吧,这里吐个槽,我用的爆破字典是TOP10W,居然没有包含这个token,果然是我的字典太烂了。

之后用kali内置的rockyou试了一下,出了。

图片

就很舒服,于是替换去在线token加解密的站替换了JWT里面的用户名为admin

图片

果然,以admin身份登陆进去,之后发现后台居然什么都没有

图片

这靶场长得和CTF一样,于是采用CTF类似做法,扫目录

图片

扫了很多,就出了这几个结果,但是我看这个名字和大小,以及返回的length大小,太像马了。我就试了一下,这里我发誓绝对不是想逃课,真的是好奇心,然后就。。ORZ

图片

既然已经到这里了,那就试试接着做吧,提权

图片

ORZ,提权都省了。但是不出网,那就用DB1做个中继,上线走人了

图片

域渗透-DC1DB2

上面拿下WEB2后,接着就发现虽然不出网,但是他没杀软,而且是一台在域内的主机。为了操作方便,于是用Mimikatz抓了一把hash,然后3389连上去操作,开始域渗透、

因为登录用的是administrators组里的账号,所以先用psexec提权到system

图片

这次由于考察内容中提到了SPN,所以做个spn扫描看一下

图片

果然有点东西,那就Kerberoast走一把吧

图片

wp复现截图的时候这里居然可以了。。之前我在这卡了一个下午,一直是个莫名其妙的报错,这台靶机又是出奇的卡,执行一条命令要5分钟的样子。所以我选择了另外一种逃课方法,是什么呢?放在最后。

图片

mimikatz把我们要的票据导出

图片

再之后就是爆破了

图片

有了域控密码之后,就可以用类似psexec这种工具上线了

图片

至此,完结撒花~

图片

后记-总结

再次感谢月师傅辛苦搭建的靶场,这次靶场总计用时大概一天的时间。整体来说难度适中。作为我个人而言,我更想用不那么常规的方法去完成这次考核,因为个人认为渗透测试最核心最需要具备的能力的就是思路的开拓性。不走寻常路。

但是总结起来就发现,最难的居然是有些兄弟们太粗暴,对环境造成的破坏导致很多正常的手法不能使用,也让我走了很多弯路,只好用一些"小技巧"才得以完成这次考核,不过真实的渗透也是如此,谁又能保证你我遇到的环境都是"标准"的呢。

番外篇-逃课小技巧

之前前文说了,中间有一段时间WEB2那台机器特别卡。根本无法操作,所以选择用了骚套路白嫖之前通关带佬们的果实。

首先我发现有人用了IPC连接

图片

那说明有人可能是用了IPC+任务计划上线

再看看计划任务的进程参数

图片

OK,白嫖到手。s

4
关注

公众号长期更新安全类技术文章 欢迎关注和转发

moonsec
moonsec

暗月博客
115篇原创内容

公众号

相关推荐: 干货|最好用的Windows提权合集项目

给大家推荐一个同事呕心沥血写的Windows提权项目,项目一直在持续更新,欢迎大家持续关注并给予支持,目前已有827stars。作者ID:Ascotbe项目地址:https://github.com/Ascotbe/Kernelhub随机选择一个提权的CVE编…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月11日17:21:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   九月红队考核 ack123靶场第三篇http://cn-sec.com/archives/577391.html