九月红队考核 ack123靶场 第五篇

Meng0f

文章来源：​原创 S1ber moonsec 昨天

​九月红队考核 ack123靶场 第五篇

​九月红队考核 ack123靶场 第五篇

​

暗月渗透测试培训出师靶场的第五篇
九月出师人数共七人共七篇文章
目前第五篇

​

1
主要考点
1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权
每三个月一次考核，每个项目根据当前流行的技术进行适当的调整。项目综合考核渗透测试能力，培养单兵作战的安全选手。
2
过程
1.信息收集对站点做常规的外网信息收集,是个单站点，无子域名。每台机器都做了常规服务器和中间件的信息收集，WEB和服务器端口分析，后边不再叙述这一部分。

​

2.12SERVER-WEB1分析与渗透站点使用一套.NETCMS，拉取下代码做审计，代码审计完找了一处注入漏洞就可以开始利用，上sqlmap开始爆超管的用户名和密码，因为我们只需要这一行的信息，找完用md5解开密码就可以后台登录。

​

登录后台之后，我们需要找到漏洞上传点，该站点后台常规上传文件都做了对文件类型的过滤处理，所以我们要找到可以绕过的点。通过前边对代码审计，我们看到该站点使用了某编辑器，开始构造该编辑器的漏洞POC和EXP，VPS放置经过处理的WEBSHELL文件上传并且上线。接着对站点做渗透后的分析，上传BIGWEBSHELL查看可写路径和网站信息收集。

​

​

信息收集完上线MSF和CS，该站点几台机器都安装某六零全家桶和WINDOWSDEFENDER，所以上传的攻击负载一定要保证过免杀和通信加密，后边不再对这一部分进行描述。机器上线之后，再打了一波提权和权限维持，到这里12SERVER-WEB1已经拿下FLAG。

​

3.12SERVER-DATA1分析与渗透从12SERVER-WEB1可以了解到，该SERVER-DATA安装的是SQL-SERVER-2012，我们开始使用SQLSERVER工具进行探测，探测完之后发现该SERVER可以出外网，所以只要这台服务器拿下，前边一台服务器就可以抛弃掉。至此同样CS上线也拿到相应的FLAG并且做了代理，方便后边利用。

​

​

4.12SERVER-WEB2分析与渗透经过信息收集之后发现是一个PHP单站点，无子域名,这几个模板页面构成的站点到底哪里是突破口，做下思维发散。该站点前后端通信采用JWT，我们把TOKEN放到https://jwt.io/做分析，看JWT加密方式，看是否能构建有用的PAYLOAD，看TOKEN能否进行利用，看相关组件能否利用，里面的PHP-JWT组件我也做了代码审计。接着我们使用JWT工具试着进行爆破，爆破完发现这个KEY特别像个登录密码，我们最终在WEB路径找到了一个PHPMYADMIN的突破口，这个KEY就是登录密码。好家伙，开始往SQL里面构造WEBSHELL，连接上线。

​

该站点权限SYSTEM权限，内网无需考虑BYPASSAV，我们先上传内网工具对该域进行常规收集，一台域控和另外两台主机，并且CS和MSF正向绑定。

​

5.16SERVER-DC1与12SERVER-WEB2分析与渗透通过代理对域控进行ZEROLOGIN进行打击，没打下来，换下思路使用SPN和KERBEROSTING进行攻击。KERBEROSTING攻击流程如下:

       
• 
         
• 
         
• 
         
• 
         
• 
  

发送服务主题名称:setspn  -T ACK123.com -q */*请求票据:mimikatz.exe  "kerberos::ask /target:xxx" "exit"导出票据:mimikatz.exe  "standard::base64" "kerberos::list /export"  "exit"破解票据:python3  tgsrepcrack.py password.txt "xxx.kirbi"重写票据和注入票据:这一步我没有做,拿着key做ipc连接(重写票据:python3  kerberoast.py -p password -r 'xxx.kirbi' -w PENTESTLAB.kirbi ...)

       
•        
  
  

​

​

最后，IPC连接并且拿到两台SERVER的FLAG。

3
关注
公众号长期更新安全类技术文章 欢迎关注和转发
​