參考 http://prontosil.club/posts/c08799e1/
一、 實驗名稱
企業環境滲透2
二、 實驗目的
【實驗描述】
操作機的操作系統是kali 進入系統后默認是命令行界面 輸入startx命令即可打開圖形界面。
所有需要用到的信息和工具都放在了/home/Hack 目錄下。
本實驗的任務是通過外網的兩個主機通過代理滲透到內網的兩個主機。在滲透的過程中一般需要先進行端口掃描猜測主機上運行的服務,再通過漏洞利用腳本和其他掃描工具進一步確定漏洞存在,進而完成主機滲透拿到權限。
在本實驗中需要查找flag{32位MD5}字樣的字符串作為完成任務的憑證,將flag放到表單中提交。
通過外網系統漏洞獲取目標機器的權限
通過獲取服務器的權限后,通過此機器為跳板入侵內網
【實驗目的】
Weblogic的java反序列漏洞應用
Wordpress任意文件讀取的漏洞利用
Wordpress命令執行的漏洞利用
WordPress通過自己修改的EXP,getshell
通過代理掃描內網
Redis未授權訪問以及對配置文件的理解
Ffmpeg任意文件的讀取結合redis的利用
Drupal由於YAML解析器處理不當導致遠程代碼執行
三、 實驗內容及原理
##任務一、Weblogic反序列化
###任務描述
整體掃描外部網絡,探測暴露在外部的主機信息
利用java反序列化漏洞利用腳本執行系統命令。
在系統home目錄下尋找flag字樣的值提交,提交后該實驗任務完成。
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
掌握java反序列化漏洞利用腳本的使用。
熟悉weblogic的常見端口。
掌握網絡掃描探測的方法和技術原理和nmap的簡單實用
###操作步驟
瀏覽器訪問192.168.2.10的7001端口
使用weblogic java反序列化利用工具獲取權限
所有需要用到的信息和工具都放在了/home/Hack 目錄下。
在home目錄下查找flag字樣字符串提交
##任務二、Wordpress任意文件讀取
###任務描述
使用wpscan工具掃描wordpress的插件漏洞
主要針對插件WP Hide Security Enhancer存在的任意文件讀取漏洞,以此讀取到網站主要文件。
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
掌握wordpress插件WP Hide Security Enhancer漏洞的利用方法。
掌握wpscan工具的使用和插件掃描命令
###操作步驟
1.利用wpscan掃描wordpress網站,掃描漏洞插件
注意 -e p掃描插件漏洞
2.利用掃描出的插件漏洞讀取wp-config.php的文件內容
上面給出了漏洞文檔鏈接
訪問看看
這樣可以獲取wpconfig.php
3.讀取wp-config.php的flag字符串提交
##任務三、Wordpress命令執行
###任務描述
利用Burpsuite的repeater模塊修改包探測漏洞存在的字段。
執行wordpress mailer命令執行漏洞的利用腳本嘗試獲取shell。
本任務的目的是通過wordpress主系統本身的漏洞進一步滲透,任務二只是獲得了文件讀取的能力,而不能命令執行。經過進一步的探測,判斷這個wordpress中存在phpmailer的命令執行漏洞,這個漏洞的特點是通過HTTP包中的Host字段觸發,唯一的前提條件是需要知道管理員的用戶名。
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
掌握瀏覽器設置代理的方法
掌握Burpsuite抓包改包的基本操作和使用repeater模塊探測漏洞字段。
掌握wordpress mailer漏洞的原理和腳本使用。
###操作步驟
訪問目標網站,在瀏覽器中配置代理,用Burpsuite攔截請求包
使用Firefox瀏覽器工具欄中的“設置”工具進行“手動代理Manual Proxy”配置
設置的位置在Preference advanced
設置代理為127.0.0.1:8080
使用Burpsuite的repeater模塊探測漏洞字段。
理解wordpress mailer漏洞的原理,執行wp.sh 腳本獲取響應 信息
##任務四、通過改進漏洞利用腳本獲得命令執行權限
###任務描述
通過分析sendmail中的語法改進作者的漏洞利用腳本,縮短host字段的長度繞過限制。
利用改進后的漏洞利用腳本來獲取shell。
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
熟悉sendmail命令語法。
掌握webshell命令執行漏洞的常規下載執行的利用思路。
掌握在瀏覽器上配置代理的方法。
掌握利用Burpsuite的repeater模塊改包測試的過程。
###操作步驟
查看漏洞利用腳本wordpress-rce-exploit.sh理解腳本改進的原理。
修改為
填寫漏洞利用腳本的關鍵信息如反彈IP,監聽端口等。本地監聽設置的端口獲取反彈的shell。
打開第二個shell監聽
第一個shell執行
得到shell
利用shell上傳regeorg的tunnel.php文件,使用regeorg架設代理
再開啟一個shell,設置本地服務器
原來的shell上傳tunnel.nosocket.php
通過proxychains設置好regeorg的代理,利用這個代理掃描內網1.0網段
檢測,上傳成功
開啟代理
Proxychains 添加代理地址 修改 proxychains.conf
然后可以遠程命令行
掃描 192.168.1.10
192.168.1.11
##任務五、redis未授權訪問+ffmpeg 任意文件讀取
###任務描述
查看網頁中的信息可知,是通過ffmpeg處理視頻的小應用,只有上傳,下載和刪除功能,此處存在ffmpeg文件讀取漏洞,構造特定的avi視頻,經過ffmpeg處理之后的視頻就會包含想要的文件內容。利用文件讀取漏洞獲取redis配置文件內容。
redis數據庫服務,允許外連且沒有設置密碼,可以隨意訪問,此處存在未授權訪問漏洞,正常情況下可以寫入文件,但是過程中發現,必要的config命令被替換了。而config命令的替換一定是寫在redis的配置文件中的,配置文件的路徑又可以在redis中執行info獲取到。在以上環境中獲取到redis服務器的shell。
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
掌握ffmepg任意文件讀取漏洞的利用方法。
了解redis數據庫的特性和配置文件的使用。
掌握redis數據庫未授權訪問漏洞的利用方法。
###操作步驟
掃描目標開啟的端口,發現web和redis服務
連接redis服務器查看配置文件位置
使用redis-cli和剛剛的代理
Info查看配置文件
利用ffmepg的任意文件讀取漏洞構造payload讀取redis配置文件,獲取修改過后的config命令。
Ffmpeg 的任意讀取漏洞參考 https://www.freebuf.com/column/142775.html
生成avi
注意 file/// 位置是想獲取的配置文件的位置
修改proxychains 配置文件,socks4
然后可以使用 命令 proxychains firefox & 來代理。
這樣原來本地192.168.2.200訪問不了的192.168.1.11 可以借助代理的192.168.2.11訪問
如圖
可見該網站利用ffmpeg轉換視頻,故可利用漏洞
上傳剛剛的avi
然后下載 123.avi
在 /root/downloads查看下載好的視頻,其中內容即為
可見 config 被替換為 ccoonnffiigg
利用redis寫入文件的特點覆蓋目標的定時任務cron文件反彈shell
注意過程中可能出現鏈接問題,更換端口代理即可解決
然后執行腳本
成功反彈shell
可以查找flag
/home/flag/flag.txt
/etc/redis/63799.conf
##任務六、drupal8遠程代碼執行
###任務描述
使用瀏覽器掛代理訪問內網機器192.168.1.10。
利用drupal8的php反序列化漏洞向目標服務器寫入webshell。
使用Cknife連接已經生成的webshell
###實驗目標
了解網絡安全漏洞的概念以及現有的安全漏洞掃描工具。認知常見網絡安全漏洞。
熟悉網站webshell的概念,理解上傳webshell、獲取webshell權限的意義和方法。
掌握webshell工具Cknife的基本使用,特別是設置代理的功能,查看上傳文件,命令執行等功能的使用。
掌握在瀏覽器上配置代理的方法。
掌握利用drupal8的php反序列化漏洞的攻擊方法和相關的技術原理。
###操作步驟
使用瀏覽器結合proxychains用之前的代理訪問內網中的drupal8的web應用。
除了上面的 proxychains 代理訪問,也可以直接設置firefox的代理
訪問192.168.1.10
弱口令登錄目標網站后台
利用反序列化漏洞執行phpinfo 探測網站信息
瀏覽發現此處可以上傳
選簡單配置,粘貼 drupal_exp.txt 的內容
導入后
利用反序列化漏洞寫入webshell,並測試存在
然后就有了webshell
用Cknife設置代理連接webshell獲取網站的權限
實驗Cknife連接
設置代理
添加鏈接
flag
