【红日靶场】3——从靶场配置到漏洞发现、脏牛提权、反弹shell详细解出

靶场拓扑

具体情况是三台内网机器，一台出网机Centos，校园网的建议使用net模式配置出网机，网段设置为192.168.1.0。内网网段设置为仅主机模式，192.168.93.0网段。

详细配置

NAT

Host Only

只有centos为双网卡，设置完网卡后，只用重启centos网卡，service network restart。
其他单网卡全部设置为hostonly网段网卡。

信息收集

这里懒一波，正常直接扫全C段就可以。可以看到目标机器开启22,80,3306端口。

先访问一下80端口，看下有什么。
利用火狐插件查看组件信息。

看到有joomla-cms我们可以在msf上搜索一下有关payload

拿版本扫描脚本扫描版本。

查到cms版本进行攻击，网上搜索exp。21年有个最新exp命令执行。

版本符合可以尝试，但需要普通管理员权限，这里需要账号密码，遂继续信息收集。

目录扫描

dirsearch扫描后台发现configuration.php~文件。

配置文件中有账号密码，且可以看到数据库类型为mysql。kali中或者navicat进行连接。

可以看到成功登入。

刚才看到一个后台界面，可以在数据库中找到账号密码尝试登录。

直接进行一波数据库的查。

能找到一个名叫administrator的账号，密码无法解密直接修改登录。

登录成功。

漏洞利用——joomla远程命令执行

找到刚才漏洞的复现文章，进行测试。
链接给大家贴到这里: joomla漏洞复现


可以看到修改完后直接目录遍历了，利用这个漏洞可以直接进行命令执行。

一句话马连

这里使用别的方法

这里信息直接告诉我们在哪个文件夹下，在配合dirsearch搜索到的目录，写上phpinfo测试是否能访问。

可以看到成功写入。

祖传蚁剑开连。


连接成功。
我们可以打开命令行查看一下当前IP。查不到用蚁剑的插件。

我们可以看到是192.168.93.120。
而我们连接的是192.168.1.110这台机器，这就说明该机器有反向代理，用的是nginx服务器。
把我们的流量代理到了192.168.93.120。
那我们现在还是需要去控制第一台入口机，tmp文件找到了账号密码，ssh连接一下。

连接成功，查看一下ip、id和内核版本

我们发现自己是普通用户，且已经进到了这个真正双网卡主机里，该Linux版本支持脏牛内核提权。

脏牛提权

开放我们的端口传输提权脚本。

wget一下可以发现没有权限，这时我们可以查看下权限，一般tmp文件夹是有读写执行权限的。

tmp文件夹是可以的，脚本上传成功，进行一个权的提。



su一下看看自己的权限。

已经是系统管理员了。

反弹shell

这时反弹个shell来进一步控制主机。知道目标系统是64位linux，直接生成一个。本机生成http服务直接wget，chmod加权限，执行。

shell反弹成功，接下来就是横向渗透，先加路由。

1. run autoroute -s 192.168.52.0/24 添加路由
2. run autoroute -p 查看是否添加成功
   加完之后在一个网段内，直接进行smb扫描。
   发现192.168.93.10/20/30存活
   
   smb_login模块进行爆破，成功爆出192.168.93.20/30的密码
   
   
   有了密码接下来就常规内网渗透，查找域控，域内信息收集，mimikatz，psexec，wmic都可以，下面不再赘述。

总结

在每次配置靶场的时候都可以锻炼自己的网工理解能力。
该靶场主要是需要开始的信息收集能力，找到现有漏洞进行命令执行，传马上去提权连shell，其他都好说。