【萌新向】渗透测试靶场考核


最近年末了,单位有了渗透的考核

对于我这个几乎没有玩过内网的同学简直是非常难过!

靶场搭建再了单位的一台Thinkpad上,但是!路由器经常会炸,在后面我会解释一下为啥提前说一下这个

由于时间短,我没有完成整个渗透的过程,就简单记录一下渗透学习

接下来说明一下整个靶场的拓扑

我们首先假装一下,该环境是在公网环境下
有两个web服务
一个域控
两个域用户
WEB1是给出来的:http://192.168.8.128:8081/
剩下的我们逐步收集

WEB1为:http://192.168.8.128:8081/

访问发现web应用是tp框架 且版本为v5.0.x

image-20211229112452038

随便给一个指,造成debug看一下报错页面给没给版本号

image-20211229112509904

可以看到,该Think版本为V5.0.15,此时可以利用工具或者手测一下

经过测试存在ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

随便上一个webshell并且用蚁剑连接一下,连接后可以看到还有其他的同事也上了一句话(我的马是H3.php,就是简单的一句话)

image-20211229112556342

然后上传冰蝎木马(其实这一步有点多余了,我本来想要为了方便提权,和利用msf,但是发现这里并不需要特别高的权限)

image-20211229112648710

利用命令执行,反弹shell到自己的kali中,进行后渗透工作

image-20211229133312435

在这里成功反弹到了shell,接下来就可以继续信息收集

image-20211229133334700

上传一个fscan 扫一下c段,发现了web2的服务,并且看到了web2的服务器有着双网卡,这里先放在这不动

image-20211229145356072

发现了不同段的ip扫一下,发现是不出网,frp带出来,发现是个Tomcat的样例界面,此时又陷入了僵局,因为在我的印象中这玩意没有啥利用的地方(这里服务器崩了一次,导致IP和我扫到的地方不一样,小问题)

image-20211229162141356

看到了445想打永恒之蓝打不通(这里忘记截屏了),随即扫一下目录看看有没有其他的东西

扫到了admin,访问一下

image-20211229162841688

大写的Shiro(Shiro和Log4j养活了大堆安全人员 滑稽脸.jpg)

image-20211229162914694

而且bp的插件直接给了key,这就不用问多说了把

image-20211229163429167

直接进行shiro_attack,干他!

image-20211229171920156

查看网卡

Windows IP 配置
以太网适配器 Ethernet0:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::c900:af0f:9fe0:d91c%13
   IPv4 地址 . . . . . . . . . . . . : 192.168.251.112
   子网掩码  . . . . . . . . . . . . : 255.255.254.0
   默认网关. . . . . . . . . . . . . : 192.168.250.1
以太网适配器 Ethernet1:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::310a:8deb:67a7:832d%12
   IPv4 地址 . . . . . . . . . . . . : 10.10.10.4
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
隧道适配器 isatap.{B0A725AE-0F5A-475D-B790-B922E4F0ECBB}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{F5E4AD16-A6C6-4F43-B6C5-F927AEBD7A45}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 

尝试注入内存马无效,可以利用cs上线

利用shiro RCE 加上cs的powershell 上线

成功将目标机器上线(你会发现这里的ip又变回同段了,因为实在是路由器遭不住那么多的穿透直接凉了,经过讨论把web2放开直接打)

image-20211230093546448

看一下网卡

image-20211230101634382

发现了不同A段的IP地址

fscan扫一下

image-20211230102853261

10.10.10.3:139 open
10.10.10.4:139 open
10.10.10.4:8080 open
10.10.10.6:445 open
10.10.10.3:445 open
10.10.10.4:445 open
10.10.10.6:139 open
10.10.10.6:135 open
10.10.10.3:135 open
10.10.10.4:135 open
NetInfo:
[*]10.10.10.4
   [->]Windows2012
   [->]192.168.8.142
   [->]10.10.10.4
NetInfo:
[*]10.10.10.6
   [->]Windows2008
   [->]10.10.10.6
[*] WebTitle:http://10.10.10.4:8080    code:200 len:20     title:Apache Tomcat/8.5.73
[*] 10.10.10.4           WORKGROUP\WINDOWS2012       Windows Server 2012 R2 Standard 9600
NetInfo:
[*]10.10.10.3
   [->]Win7
   [->]10.10.10.3
[*] 10.10.10.6           HACK\WINDOWS2008       Windows Server 2008 R2 Standard 7601 Service Pack 1
[+] 10.10.10.3	MS17-010	(Windows 7 Ultimate 7601 Service Pack 1)
[*] 10.10.10.6  (Windows Server 2008 R2 Standard 7601 Service Pack 1)
[*] 10.10.10.3           __MSBROWSE__\WIN7              Windows 7 Ultimate 7601 Service Pack 1

传一个nps,做内网穿透,带到自己主机里(这里也是自己想要学习一下nps,内网我很菜,基本上没打过)

image-20211230133633439

成功带出来了

image-20211230134527777

回到上文的fscan扫描结果可以看到这里有一个Win7

image-20211230140459145

而且445也是打开的(这我就太懂了)

image-20211230140531905

直接考虑永恒之蓝!

image-20211230144808472

存在永恒之蓝漏洞,那还说啥了!干他!!!!

image-20211231084029579

可以看到,我这里打了tm的15次,换了各种版本的exp,但是都无法连接成功利用,此时已经快要下班了 233333

不出众望,在第30+次的时候

它蓝屏了。。。。。

image-20211231084226107

然后我也就下班了,我的第一次渗透就到这里了,如果这个域用户成功打穿了,也许能有可能进行横移,拿域控(边看大师傅的blog,边问我师傅,我很菜2333),不过这次的渗透给了我很大的启发。

第一点、对于刚刚接触的同学们,一定要做好信息收集的工具,能够在信息收集的阶段在自己的脑袋里形成一幅拓扑图

第二点、要熟悉常见的渗透工具:msf、cs、nmap、fsacn等等

第三点、要对渗透常用CVE漏洞学会利用和提权手法,比如永恒之蓝

第四点、要会内网穿透和多层代理,这个很多师傅都写了文章可以学习学习

学习永无止境,要多练习,多思考,经验很有用,纸上谈学不如动手实践,对于我一个CTFer来说,内网的知识接触很少,但是在整个靶场的渗透途中,把每个步骤都细分,这样就有了很明确的目的,也就把一个大目标划分成小目标,按照步骤来,遇到不会的东东就去现场学习并且整理笔记,就会容易得多。


文章作者: H3h3QAQ
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 H3h3QAQ !
  目录