vulntarget漏洞靶场系列（五）— vulntarget-e

2022年3月9日16:07:20评论515 views字数 6793阅读22分38秒阅读模式

vuntarget免责声明

vulntarget靶场系列仅供安全专业人员练习渗透测试技术，此靶场所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用靶场中的技术资料对任何计算机系统进行入侵操作。利用此靶场所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

vulntarget靶场系列拥有对此靶场系列的的修改、删除和解释权限，未经授权，不得用于其他。

vulntarget开源靶场交流群：

vulntarget漏洞靶场系列（五）— vulntarget-e

欢迎各位师傅一起来交流呀！

相关漏洞技术

低版本向日葵上线、绕windows server2016版本windows Defender、host碰撞、绕宝塔、绕端口限制、出站规则探测、绕过disable_function、mssql的利用、smb爆破、基于资源的约束委派、约束委派等等都可以尝试。

下载地址：

百度云链接:

https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q

提取码: 1p9p

其中vulntarget-e是本次环境

github地址：

https://github.com/crow821/vulntarget

测试说明

1. 操作人员自行修改第一层外网IP，将其修改为攻击机可访问IP即可，其他均为服务自启（向日葵可能会断开，自行检查）。开启场景自后自行检查网络，第二层ubuntu网络特殊，需要固定IP
2. 下载靶机，开机之后，确认自己网络配置好了，可以选择本地做一个快照，原本的快照可能会因为制作靶机的处理器和当前打开靶机的处理器不一致，导致快照恢复失败，或者异常（见谅）

3.本次只提供vulntarget-e的搭建过程，下次会更新打靶的完整教程。

拓扑图

外网win2016向日葵设计

向日葵个人版 for Windows <= 11.0.0.33 向日葵简约版 <= V1.0.1.43315（2021.12）

防火墙和Windows Defender均开着。

内网ubuntu设计

安装宝塔

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

下载nginx 1.19 和php 5.6

安装宝塔免费版本的防火墙

这个过程在这里忽略，可以参考以前的安装方法。

配置伪造的假的登录界面

没有任何交互，就是个假的界面。

配置ThinkPHP5 5.0x5.1x远程代码执行漏洞

下载的是thinkphp 5.0.15版本，下载地址：http://www.thinkphp.cn/donate/download/id/1125.html

把对应的配置文件上传到宝塔：

并且配置默认目录为宝塔的public

访问一下：

先关闭WAF测试漏洞是否存在：

确定存在远程代码执行漏洞。

设置宝塔防火墙规则

查看规则

看了get规则对phpinfo，eval也同时有过滤。

因为免费版的宝塔把固定构造的url给过滤了，这里直接关掉：

配置public目录不允许写入：

关闭目录保护的规则：

测试能成功写入：

顺便把eval规则给删除。

配置thinkphp的报错

主要是因为disable_funciton的开启后，会禁用函数，所以这里降低难度，提示有disable_funciton的禁用：

配置宝塔的端口限制

首先清除所有的端口规则：

iptabels -F

设置可以访问目标主机的80和8888，3333，22端口：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  iptables -A INPUT -p tcp --dport 8888 -j ACCEPT  iptables -A INPUT -p tcp --dport 3333 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT

设置6个出站端口：

iptables -A INPUT -p tcp --sport 3000 -j ACCEPTiptables -A INPUT -p tcp --sport 587 -j ACCEPTiptables -A INPUT -p tcp --sport 3333 -j ACCEPTiptables -A INPUT -p tcp --sport 113 -j ACCEPTiptables -A INPUT -p tcp --sport 119 -j ACCEPTiptables -A INPUT -p tcp --sport 11 -j ACCEPT

然后配置重启后不会失效：

iptables-save >/etc/iptables.rules
编辑/etc/network/interfaces文件，添加pre-up iptables-restore < /etc/iptables.rules
iptables-save >/etc/iptables.rules

配置只有域名才能访问该网站

原文件

server{    listen 80;    server_name 192.168.100.131;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/vulntarget-e/;        #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END        #ERROR-PAGE-START  错误页配置，可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置，可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.126.136.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.126.136.log;    error_log  /www/wwwlogs/192.168.126.136.error.log;}

这里配置了两个网站

两个的网站根目录都是配置thinkphp的，并且两个thinkphp都是一个。

内网网卡1 nginx的配置主要192.168.100.131是能扫到的ip地址

server {    listen 80;    server_name 192.168.100.131;    //访问这个地址就报400    return 400;}server{    listen 80;    server_name www.cJO6w10YLS.com;    location / {        proxy_pass http://192.168.88.100:3333;     //跳转到192.168.88.100:3333的内网ip    }    location ~ .*.(js|css|php)$ {        proxy_pass http://192.168.88.100:3333;   //这个部分是加载js文件的,还有为了能访问到php文件    }    #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则    #error_page 404/404./www/wwwroot/vulntarget-e/;    #SSL-END        #ERROR-PAGE-START  错误页配置，可以注释、删除或修改    #error_page 404 /404./www/wwwroot/vulntarget-e/;    #error_page 502 /502./www/wwwroot/vulntarget-e/;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置，可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.100.131.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.100.131.log;    error_log  /www/wwwlogs/192.168.100.131.error.log;}

内网网卡2的配置

server{    listen 3333;    server_name 192.168.88.100;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/vulntarget-e2/;        #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END        #ERROR-PAGE-START  错误页配置，可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置，可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.88.100.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.88.100.log;    error_log  /www/wwwlogs/192.168.88.100.error.log;}

配置php7.3

php 5.6这次环境有点小问题，采用php 7.3

php-5.6禁止，启动php-7.3

修改配置

接着配置响应时间

配置SSH

配置root的ssh连接密码为空

在vulntarget的普通用户路径下配置了一个key 权限赋值704，是root的私钥

网络问题

如果获取获取不到IP，可以使用命令sudo ifup ens33 && sudo ifup ens37

因为宝塔搭建网站的时候，配置文件里面写了固定的IP，所以配置网络时需要固定为这两个IP

域用户搭建

域账号：win2008

密码: qweASD123

08本地管理员账号: administrator

密码：admin@123

数据库管理员

账号：sa

密码：qweASD123

数据库普通用户权限

账号：test

密码：123.com

搭建sql server

Win2016 + MSSQL2008

下载地址

https://www.microsoft.com/zh-CN/download/details.aspx?id=30438

选择SQLManagementStudio_x64_CHS.exe和SQLEXPR_x64_CHS.exe

先安装SQLEXPR_x64_CHS.exe

下一步

一直下一步，保持默认设置到"实例配置"这一节，并选择"默认实例"，并点击下一步：

然后一直下一步：

然后双击SQLManagementStudio_x64_CHS.exe

同样选择全新安装：

下一步

继续下一步

下一步

搭建完成

域控搭建

网卡4：10.0.10.10

域控搭建可以参考之前的文章，搭建完成之后，新建一个域用户win2008

约束委派

创建一个账户，并且设置为服务账户（以下设置的2008的约束委派）

账号: win2008

密码: qweASD123

setspn -U -A MSSQLSvc/mssql.vulntarget.com:1433 win2008   后面是刚创的账户名，前面是服务
setspn -Q */*  查询一下

弄完之后，打开创建的账户配置约束委派，下面cifs的是已经设置好的了

点击添加后会有一个

选择cifs

至此，vulntarget-e环境搭建完成！

vulntarget漏洞靶场系列（五）— vulntarget-e

新书推荐

过去网络安全距离我们很远，只要没有被攻击便可以忽略，而现在如果存在安全漏洞且一不小心被成功攻击，就可能导致很多公司财务等重要数据被勒索病毒感染，造成巨大经济损失！近几年来，国家展开了护网行动，加上各种机构经常组织CTF比赛等，网络安全越来越火，人才缺口也越来越大。“会渗透，是懂安全的基础；会漏扫，是懂渗透的基础；去实战，是检验能力的标准”此书可以给网络安全领域的专业人士或想入门的人士答疑解惑，是您必不可少的一本专业图书!

本书从网络攻防实战的角度，对Web漏洞扫描利用及防御进行全面系统的研究，由浅入深地介绍了在渗透过程中如何对Web漏洞进行扫描、利用分析及防御，以及在漏洞扫描及利用过程中需要了解和掌握的基础技术。

全书共分10章，包括漏洞扫描必备基础知识、域名信息收集、端口扫描、指纹信息收集与目录扫描、Web漏洞扫描、Web常见漏洞分析与利用、密码扫描及暴力破解、手工代码审计利用与漏洞挖掘、自动化的漏洞挖掘和利用、Web漏洞扫描安全防御，基本涵盖了Web漏洞攻防技术体系的全部内容。书中还以一些典型漏洞进行扫描利用及实战，通过漏洞扫描利用来还原攻击过程，从而可以针对性地进行防御。

vulntarget漏洞靶场系列（五）— vulntarget-e

点击上方链接，更多优惠等你哦~

原文始发于微信公众号（乌鸦安全）：vulntarget漏洞靶场系列（五）— vulntarget-e

左青龙
微信扫一扫

右白虎
微信扫一扫

vulntarget漏洞靶场系列（五）— vulntarget-e

[AI安全论文] (32)南洋理工大学刘杨教授——网络空间安全和AIGC整合之道学习笔记及强推（InForSec）

任意用户登录漏洞挖掘思路

AI安全白皮书 - 华为

人工智能硬件安全白皮书 - DUEROS百度安全

漏洞挖掘 | 某学工平台越权

PostExpKit - 20240423更新

yzmcms-pay_callback-rce漏洞复现

owasp大模型应用威胁视图理解大模型应用目前所面临的主要安全威胁

新一代供应链安全攻击面

《生成式人工智能数据应用合规指南》正式发布，5月1日实施

发表评论

在线咨询

微信