vulntarget漏洞靶场系列(五)— vulntarget-e

admin
admin
admin
139670
文章
114
评论
2022年3月9日16:07:20评论559 views字数 6793阅读22分38秒阅读模式

vuntarget免责声明

vulntarget靶场系列仅供安全专业人员练习渗透测试技术,此靶场所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用靶场中的技术资料对任何计算机系统进行入侵操作。利用此靶场所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
vulntarget靶场系列拥有对此靶场系列的的修改、删除和解释权限,未经授权,不得用于其他。


vulntarget开源靶场交流群:


vulntarget漏洞靶场系列(五)— vulntarget-e


欢迎各位师傅一起来交流呀!



00

相关漏洞技术

vulntarget漏洞靶场系列(五)— vulntarget-e
低版本向日葵上线、绕windows server2016版本windows Defenderhost碰撞、绕宝塔、绕端口限制、出站规则探测、绕过disable_functionmssql的利用、smb爆破、基于资源的约束委派、约束委派等等都可以尝试。


下载地址:
百度云链接:
https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q  
提取码: 1p9p

其中vulntarget-e是本次环境

github地址:

https://github.com/crow821/vulntarget


测试说明
1. 操作人员自行修改第一层外网IP,将其修改为攻击机可访问IP即可,其他均为服务自启(向日葵可能会断开,自行检查)。开启场景自后自行检查网络,第二层ubuntu网络特殊,需要固定IP
2. 下载靶机,开机之后,确认自己网络配置好了,可以选择本地做一个快照,原本的快照可能会因为制作靶机的处理器和当前打开靶机的处理器不一致,导致快照恢复失败,或者异常(见谅)
3.本次只提供vulntarget-e的搭建过程,下次会更新打靶的完整教程。 


拓扑图

vulntarget漏洞靶场系列(五)— vulntarget-e



01

外网win2016向日葵设计

vulntarget漏洞靶场系列(五)— vulntarget-e
向日葵个人版   for Windows <= 11.0.0.33 向日葵简约版   <= V1.0.1.43315(2021.12)
vulntarget漏洞靶场系列(五)— vulntarget-e

防火墙和Windows Defender均开着。



02

内网ubuntu设计

vulntarget漏洞靶场系列(五)— vulntarget-e

安装宝塔

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh
下载nginx 1.19php 5.6
vulntarget漏洞靶场系列(五)— vulntarget-e



安装宝塔免费版本的防火墙

这个过程在这里忽略,可以参考以前的安装方法。



配置伪造的假的登录界面

没有任何交互,就是个假的界面。
vulntarget漏洞靶场系列(五)— vulntarget-e



配置ThinkPHP5 5.0x5.1x远程代码执行漏洞

下载的是thinkphp 5.0.15版本,下载地址:http://www.thinkphp.cn/donate/download/id/1125.html

把对应的配置文件上传到宝塔:
vulntarget漏洞靶场系列(五)— vulntarget-e

并且配置默认目录为宝塔的public
vulntarget漏洞靶场系列(五)— vulntarget-e


访问一下:
vulntarget漏洞靶场系列(五)— vulntarget-e


先关闭WAF测试漏洞是否存在:
vulntarget漏洞靶场系列(五)— vulntarget-e


确定存在远程代码执行漏洞。


设置宝塔防火墙规则

查看规则

vulntarget漏洞靶场系列(五)— vulntarget-e


看了get规则对phpinfoeval也同时有过滤。
vulntarget漏洞靶场系列(五)— vulntarget-e


因为免费版的宝塔把固定构造的url给过滤了,这里直接关掉:
vulntarget漏洞靶场系列(五)— vulntarget-e


配置public目录不允许写入:
vulntarget漏洞靶场系列(五)— vulntarget-e


关闭目录保护的规则:
vulntarget漏洞靶场系列(五)— vulntarget-e


测试能成功写入:
vulntarget漏洞靶场系列(五)— vulntarget-e


顺便把eval规则给删除。



配置thinkphp的报错

主要是因为disable_funciton的开启后,会禁用函数,所以这里降低难度,提示有disable_funciton的禁用:

vulntarget漏洞靶场系列(五)— vulntarget-e



配置宝塔的端口限制

首先清除所有的端口规则:

iptabels -F
设置可以访问目标主机的808888333322端口:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT  iptables -A INPUT -p tcp --dport 8888 -j ACCEPT  iptables -A INPUT -p tcp --dport 3333 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT
设置6个出站端口:
iptables -A INPUT -p tcp --sport 3000 -j ACCEPTiptables -A INPUT -p tcp --sport 587 -j ACCEPTiptables -A INPUT -p tcp --sport 3333 -j ACCEPTiptables -A INPUT -p tcp --sport 113 -j ACCEPTiptables -A INPUT -p tcp --sport 119 -j ACCEPTiptables -A INPUT -p tcp --sport 11 -j ACCEPT
然后配置重启后不会失效:
iptables-save >/etc/iptables.rules
编辑/etc/network/interfaces文件,添加pre-up iptables-restore < /etc/iptables.rules
iptables-save >/etc/iptables.rules


配置只有域名才能访问该网站

原文件
server{    listen 80;    server_name 192.168.100.131;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/vulntarget-e/;        #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END        #ERROR-PAGE-START  错误页配置,可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置,可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.126.136.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.126.136.log;    error_log  /www/wwwlogs/192.168.126.136.error.log;}


这里配置了两个网站
vulntarget漏洞靶场系列(五)— vulntarget-e


两个的网站根目录都是配置thinkphp的,并且两个thinkphp都是一个。
内网网卡1 nginx的配置  主要192.168.100.131是能扫到的ip地址
server {    listen 80;    server_name 192.168.100.131;    //访问这个地址就报400    return 400;}server{    listen 80;    server_name www.cJO6w10YLS.com;    location / {        proxy_pass http://192.168.88.100:3333;     //跳转到192.168.88.100:3333的内网ip    }    location ~ .*.(js|css|php)$ {        proxy_pass http://192.168.88.100:3333;   //这个部分是加载js文件的,还有为了能访问到php文件    }    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则    #error_page 404/404./www/wwwroot/vulntarget-e/;    #SSL-END        #ERROR-PAGE-START  错误页配置,可以注释、删除或修改    #error_page 404 /404./www/wwwroot/vulntarget-e/;    #error_page 502 /502./www/wwwroot/vulntarget-e/;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置,可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.100.131.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.100.131.log;    error_log  /www/wwwlogs/192.168.100.131.error.log;}


内网网卡2的配置

server{    listen 3333;    server_name 192.168.88.100;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/vulntarget-e2/;        #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END        #ERROR-PAGE-START  错误页配置,可以注释、删除或修改    #error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END        #PHP-INFO-START  PHP引用配置,可以注释或修改    include enable-php-73.conf;    #PHP-INFO-END        #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/192.168.88.100.conf;    #REWRITE-END        #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.svn|.project|LICENSE|README.md)    {        return 404;    }        #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }        location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;     }    access_log  /www/wwwlogs/192.168.88.100.log;    error_log  /www/wwwlogs/192.168.88.100.error.log;}


配置php7.3

php 5.6这次环境有点小问题,采用php 7.3
vulntarget漏洞靶场系列(五)— vulntarget-e


php-5.6禁止,启动php-7.3
修改配置
vulntarget漏洞靶场系列(五)— vulntarget-e


vulntarget漏洞靶场系列(五)— vulntarget-e


接着配置响应时间

vulntarget漏洞靶场系列(五)— vulntarget-e


vulntarget漏洞靶场系列(五)— vulntarget-e


vulntarget漏洞靶场系列(五)— vulntarget-e


配置SSH

配置rootssh连接密码为空

vulntarget漏洞靶场系列(五)— vulntarget-e


vulntarget漏洞靶场系列(五)— vulntarget-e


vulntarget的普通用户路径下配置了一个key 权限赋值704,是root的私钥


网络问题

如果获取获取不到IP,可以使用命令sudo ifup ens33 && sudo ifup ens37

因为宝塔搭建网站的时候,配置文件里面写了固定的IP,所以配置网络时需要固定为这两个IP
vulntarget漏洞靶场系列(五)— vulntarget-e


03

域用户搭建

vulntarget漏洞靶场系列(五)— vulntarget-e

域账号:win2008

密码: qweASD123


08本地管理员账号: administrator

密码:admin@123


数据库管理员

账号:sa

密码 :qweASD123

数据库普通用户权限

账号:test

密码:123.com


搭建sql server

Win2016 + MSSQL2008


下载地址

https://www.microsoft.com/zh-CN/download/details.aspx?id=30438

选择SQLManagementStudio_x64_CHS.exe和SQLEXPR_x64_CHS.exe


先安装SQLEXPR_x64_CHS.exe


下一步

vulntarget漏洞靶场系列(五)— vulntarget-e


一直下一步,保持默认设置到"实例配置"这一节,并选择"默认实例",并点击下一步:

vulntarget漏洞靶场系列(五)— vulntarget-e


然后一直下一步:

vulntarget漏洞靶场系列(五)— vulntarget-e


然后一直下一步:

vulntarget漏洞靶场系列(五)— vulntarget-e


然后双击SQLManagementStudio_x64_CHS.exe

同样选择全新安装:

vulntarget漏洞靶场系列(五)— vulntarget-e


下一步

vulntarget漏洞靶场系列(五)— vulntarget-e


继续下一步

vulntarget漏洞靶场系列(五)— vulntarget-e


下一步

vulntarget漏洞靶场系列(五)— vulntarget-e


下一步

vulntarget漏洞靶场系列(五)— vulntarget-e


搭建完成

vulntarget漏洞靶场系列(五)— vulntarget-e



04

域控搭建

vulntarget漏洞靶场系列(五)— vulntarget-e
网卡4:10.0.10.10

域控搭建可以参考之前的文章,搭建完成之后,新建一个域用户win2008


约束委派

创建一个账户,并且设置为服务账户(以下设置的2008的约束委派)

账号: win2008

密码: qweASD123

vulntarget漏洞靶场系列(五)— vulntarget-e

setspn -U -A MSSQLSvc/mssql.vulntarget.com:1433 win2008   后面是刚创的账户名,前面是服务
setspn -Q */*  查询一下

vulntarget漏洞靶场系列(五)— vulntarget-e


弄完之后,打开创建的账户配置约束委派,下面cifs的是已经设置好的了

vulntarget漏洞靶场系列(五)— vulntarget-e


点击添加后会有一个

vulntarget漏洞靶场系列(五)— vulntarget-e


选择cifs


vulntarget漏洞靶场系列(五)— vulntarget-e


至此,vulntarget-e环境搭建完成!

vulntarget漏洞靶场系列(五)— vulntarget-e


新书推荐

vulntarget漏洞靶场系列(五)— vulntarget-e
vulntarget漏洞靶场系列(五)— vulntarget-e
    过去网络安全距离我们很远,只要没有被攻击便可以忽略,而现在如果存在安全漏洞且一不小心被成功攻击,就可能导致很多公司财务等重要数据被勒索病毒感染,造成巨大经济损失!近几年来,国家展开了护网行动,加上各种机构经常组织CTF比赛等,网络安全越来越火,人才缺口也越来越大。“会渗透,是懂安全的基础;会漏扫,是懂渗透的基础;去实战,是检验能力的标准”此书可以给网络安全领域的专业人士或想入门的人士答疑解惑,是您必不可少的一本专业图书!

本书从网络攻防实战的角度,对Web漏洞扫描利用及防御进行全面系统的研究,由浅入深地介绍了在渗透过程中如何对Web漏洞进行扫描、利用分析及防御,以及在漏洞扫描及利用过程中需要了解和掌握的基础技术。

全书共分10章,包括漏洞扫描必备基础知识、域名信息收集、端口扫描、指纹信息收集与目录扫描、Web漏洞扫描、Web常见漏洞分析与利用、密码扫描及暴力破解、手工代码审计利用与漏洞挖掘、自动化的漏洞挖掘和利用、Web漏洞扫描安全防御,基本涵盖了Web漏洞攻防技术体系的全部内容。书中还以一些典型漏洞进行扫描利用及实战,通过漏洞扫描利用来还原攻击过程,从而可以针对性地进行防御。

vulntarget漏洞靶场系列(五)— vulntarget-e


点击上方链接,更多优惠等你哦~

原文始发于微信公众号(乌鸦安全):vulntarget漏洞靶场系列(五)— vulntarget-e

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月9日16:07:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulntarget漏洞靶场系列(五)— vulntarget-ehttps://cn-sec.com/archives/822792.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息