一次完整的靶场渗透测试

共 1821字,需浏览 4分钟

 ·

2021-08-13 16:48

作者:Ca1y0n  编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    





环境搭建
centos :两块网卡 IP分别为192.168.3.32   另一个是:192.168.93.100
ubuntu:nginx 代理服务器 192.168.93.120
PC:192.168.93.30
WindowsServer 2008:192.168.93.20
Windowsserver 2012:192.168.93.10

漏洞利用
扫描 Centos 发现开放了以下端口


访问80端口,发现是joomla 框架开发


访问后台盲猜一波口令,失败

随后对目录进行扫描


发现数据库备份文件泄漏


以及phpinfo信息


目标开放了3306 端口,尝试连接


开始想利用mysql 写入webshell,但是没有权限

后来发现root密码是弱口令~~

根据joomla 官网文档,直接添加新用户

admin2/secret

https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
INSERTINTO`jos31_users`  (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)VALUES ('Administrator2', 'admin2',   'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(),NOW(), NOW());INSERTINTO`jos31_user_usergroup_map` (`user_id`,`group_id`)VALUES (LAST_INSERT_ID(),'8');

成功登陆后台


通过编辑插件,访问extensions-templates-templates-beez3新建文件getshell


接 http://192.168.3.32/templates/beez3/css/test.php

执行命令报错

使用蚁剑插件绕过


在/tmp/mysql/text.txt发现以下内容


使用ssh登陆


查询内核


使用脏牛进行提权

https://github.com/FireFart/dirtycow/blob/master/dirty.c

下载进行编译

gcc -pthread dirty.c -o dirty -lcrypt

执行命令进行提权


使用新生成的账户密码进行登录


通过查看arp表和开放端口看到其他主机信息


搭建ssh隧道


使用fscan进行探测


发现三台windows主机,使用smb_login 模块进行爆破


使用wmiexec 进行连接,


Wmiexec

wmi介绍

全称是Windows management instrumentation,它出现在所有的Windows操作系统中,并由一组强大的工具集合组成,用于管理本地或远程的Windows系统,攻击者使用wmi来进行攻击,但Windows系统默认不会再日志中记录这些操作,可以做到无日志,攻击脚本无需写入到磁盘,增加了隐蔽性。

 

wmiexec获取shell


定位域控制器


这里用了代理转发上线外网cs

Cs新建listeners


Centos 开启代理转发


然后直接用powershell 上线


使用mimikatz 抓取域控制器账户密码


使用抓取到的密码上线域控


获取flag



往期精彩文章




Vulnhub实战-Wakanda
实战|记一次完整的实战渗透经历
windows下权限维持方法汇总
钓鱼邮件之office宏攻击




技术支持:白帽子社区团队
— 扫码关注我们 



浏览 91
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报