暗月渗透测试十月份考核文章第四篇

本次考核最终通过人数七人 达到预期目标

考核内容 

本次考核使用在线靶靶场，主要考核从外网打点到内网域渗透的能力。

难度 中

拓扑图：

访问站点，发现是EyouCms

通过百度搜索，发现eyoucms1.5.2版本存在前台getshell

参考文章如下

https://www.cnblogs.com/1jzz/p/15489724.html
https://www.yisu.com/zixun/497673.html

利用脚本获取PHPSESSID(来自https://www.yisu.com/zixun/497673.html)

替换cookie进入后台

远程下载插件(也是取巧来自https://www.yisu.com/zixun/497673.html)

访问webshell

http://216.224.123.190/uploads/allimg/news_2021.php

连接蚁剑

上传哥斯拉的马，方便下一步上传大文件

通过哥斯拉执行上传的exe上线，从桌面翻到qqClient.jar，账号.txt。并从账号.txt获取到2个账号。

通过反编译jar包，发现下一个靶机信息

通过在github上搜索qqClient.jar，发现一个与源码极为相似的项目，而且同时存在server端的代码

通过审计服务端发现两处反序列化点

第一处qqserver.java中

第二处ServerConnectClientThread.java中

因为有过提示User类不是漏洞点，那就只有Message类了,去客户端寻找那些地方使用了wireObject(message)方法

随便在上面四个找了一个点，sendMessageToAll

就是在向所有人发送消息时，会触发序列化。首先利用URLDNS链来探测。

服务端取一个debug断点

客户端启动，,账户密码是被后端写死的

输入账号密码后选择向全部人发送消息触发客户端序列化

访问dnslog成功

URLDNS之后应该就是CC链了，给客户端与服务端同时添加commons-collections-3.2.1.jar作为依赖包。并生成CC链恶意对象，步骤与测试URLDNS相同。

选取CC6Gaget作为恶意对象

cc6参考文章：

https://www.yuque.com/yang99/take9g/fqaw5x

几乎可以完全复制

只需修改calc命令为你要执行的命令就行

然后根据第一台靶机QQclient.jar的反编译信息新建一个项目并添加commons-collections-3.2.1.jar作为依赖包，在sendMessageToAll中添加cc6恶意对象。

powershell上线并未成功，不过利用nc工具，确定了利用方式是正确的

利用已有的外网中转上线，创建listener

生成beacon123.exe，并放在第一台服务的web根目录下

通过远程下载(替换calc)，分别执行以下命令。

上线第一台不出网机器

后面就是域控了，首先确定域控的名字，就是AD

在第二台机器上mimikatz并没有抓到域控或者域用户的密码，

尝试CVE-2020-1472-ZeroLogon漏洞

用mimikatz进行测试，发现存在漏洞

利用mimikatz读取administratorhash

利用第二台机器开启socks代理并结合Proxifier

smbexec.exe获取adshell

最后是ad上线cs。

第一步：ad开启共享netshare

第二步：第二台机器作为中转机器生成ad.exe,并通过第二台机器ipc连接域控并上传exe

第三步：通过smbexec.exe获取的adshell执行ad.exe

至此，所有机器都上线cs了