0x00 前言
网络安全攻防赛是一种国际流行的竞技模式,自2014年在国内升温,发展到现在,深受各大高校和安全企业的青睐。参赛者在竞技过程中能够更大的限度的收获专业知识、激发潜能。为了让更多人切身体会到网络安全攻防赛,这次我们模拟了一次初级渗透测试攻防赛的过程。
0x01 模拟环境
实验环境:
· 外网1: 192.168.15.53
· 外网2: 192.168.15.57
· xx内网:10.12.1.xx
比赛规则:
本次测试给每个测试者分配了独立账户和密码模拟真实比赛防止作弊
测试者将账号和密码登陆认证系统获取flag
拿下最终服务器并把flag提交给认证系统,系统评判此次测试是否成功
0x02 从端口扫描到webshell:
访问192.168.15.53出现链接错误,如图
此时可以考虑是端口的原因,用nmap扫描端口
这时候加上81端口,便可访问成功。
可以发现,页面并没有具体系统的相关提示。首先尝试将后台登陆链接进行搜索匹配,但是并没有获取到敏感信息。那么我们可以尝试一下爆破,看能否发现一些弱口令。
发现一个名为test的测试账户,成功登录。
在后台寻找有没有利用信息,发现有一处上传点。
分析源代码,查看是否有可利用的,发现一段javascript代码。
通过审查元素修改拿shell。
0x03 权限提升:
信息收集提权,查看当前权限发现权限很低,执行systeminfo查看服务器版本和补丁信息。
服务器补丁很少,初步估计有ms15051。利用exp成功拿下服务器。
进入服务器查看相关信息收集,进入服务器发现此系统是懒人oa。
该服务器并没有敏感信息,那么如何进入内网就看是不是在另外一台服务器上。
0x04 内网渗透:
首先查看相关的开放端口的信息。
发现7001端口,访问7001端口出现404。
这时候可以搜索7001端口的相关信息。(资料参考:https://blog.csdn.net/taozhe666/article/details/72123878)加上console成功访问。
接下来有两种思路:1.爆破 2.搜索相关漏洞
通过搜索相关漏洞发现了WebLogic WLS组件,接着就是对WebLogic WLS组件的具体利用(参考网址:http://www.bugku.com/forum.php?mod=viewthread&tid=224&highlight=WebLogi)。
开启抓包测试:
圈中点就是执行cmd命令的地方,由于执行成功没有回显,只能测试完在服务器上面登录查看是否成功。
填入开始给的独立账户信息,登录进去获取最后认证需要的flag。
查看ip信息发现有10段信息,不出意外就是这台机器通内网。
反向代理57服务器在本地扫描10段ip。
成功代理出来访问,可以探测10段。
发现有 ip 10.12.1.2 开放str2;ip 10.12.1.3开放dz;ip 10.12.1.5静态页面,初步估计此服务器是flag服务器。
访问10.12.1.5
访问10.12.1.3
查看dz版本。
搜索该版本的相关漏洞。
并未发现什么可利用的,那么就尝试扫描目录。
发现phpmyadmin和 phpinfo,尝试获取root密码。通过3306弱密码爆破,root、rootpass成功登录。
访问phpinfo获取相关信息。
发现是phpstudy,可以用mysql日志写shell(参考网址:https://www.cnblogs.com/xishaonian/p/6622818.html)。
公司内网权限意识不足,成功提权进入服务器,在服务器查看是否存在利用信息,发现管理员账户桌面。
管理员密码暂且不知道,先开始测试10.12.1.2,同样收集信息扫描端口发现开放端口8080。
该端口为tomcat服务,通过http://10.12.1.2:8080/struts2-rest-showcase/orders.xhtml链接访问进入到st2。通过百度搜集到信息此时可以利用struts--S2-052漏洞。
圈中点直接执行命令,如果没有设置权限,默认应该是system,执行添加账户命令,登录服务器测试是否成功。
成功登录,再一次查看服务器收集信息。在管理员桌面找到一个root.rar的压缩包。
回到先前在获取到的信息,在10.12.1.2服务器上rar文件里面是“pass=r1o2o3t”,10.12.1.3服务器上是“pass=p1a2s3s” 是否会有什么关联,或者在哪里会用得到呢?
10.12.1.5访问一个页面,探测网站页面。
同样发现phpmyadmin、phpinfo,尝试使用前面获取rootpass 、p1a2s3s、r1o2o3t密码,但是都不对联想到管理员用过rootpass组合密码,是否也会组合一下r1o2o3tp1a2s3s密码,尝试一下。
成功登录,同样访问phpinfo。
从路径中可以看出来,服务器安装护卫神套件,所以用mysql日志写入一句话webshell。
查看systeminfo收集信息:
权限很小,查看服务器是否支持其他脚本。
服务器支持asp。
默认cmd被改还是被删,这不影响,找个可执行目录上传我们的cmd就可以了。
权限很小,systeminfo获取详细信息。
服务器没打补丁。
拿到权限后打开认证系统,填上自己的flag会在根目录生成一段信息。
填入开始给的独立账户信息,登录进去获取最后认证需要的flag。
填入我们先前获取到的flag信息。
会在根目录生成flag_2.php,访问这个文件成功写入信息。
当浏览器访问到这个信息的时候我的内心很欣慰两个月的辛苦奋斗终于换来一份喜悦,
截图发到考核群里意味着此次模拟考试结束。
0x05 总结
本文重点介绍了一个相对完整的模拟内网渗透过程(即:外网主机 - 内网主机 )。当然,实际中的渗透测试环境会复杂的多,但是基本的思路和方法都是相通的。
因为本人能力有限,如果文中有表达不当或者错误的地方,欢迎指正,希望能够多加谅解。
猜你还喜欢
- 07-08八年专业安全团队承接渗透入侵维护服务
- 08-06SQLMAP的注入命令以及使用方法
- 08-03白帽故事汇:网络安全战士从来不是「男生」的专利
- 07-27编辑器漏洞手册
- 07-12web安全之如何全面发现系统后台
- 02-22常见Web源码泄露总结
- 07-25网站后台登陆万能密码
- 07-23破解emlog收费模板“Begin”
- 01-12批量检测SQL注入
- 01-22Apache Solr远程代码执行漏洞(CVE-2017-12629)从利用到入侵检测
- 随机文章
-
- 反爬之字体加密与破解
- 深入分析MikroTik RouterOS CVE-2018-14847 & Get bash shell
- 黑客窃取有无线解锁功能的汽车的7种姿势
- 网站渗透思路总结
- Windows Java Usage Tracker本地提权漏洞分析(CVE-2018-3211)
- 打开JBoss的潘多拉魔盒:JBoss高危漏洞分析
- 保护SSH端口安全性的多种技巧介绍
- Scrounger:一款功能强大的移动端应用程序安全测试套件
- NSA新型APT框架曝光:DarkPulsar
- NTLM中继攻击结合MSSQL调用xp_dirtree拿下MSSQL最高权限
- 远控木马盗用网易官方签名
- Linux应急响应(三):挖矿病毒
- 寻找活动目录中使用可逆加密存储密码的账户
- 变种XSS:持久控制
- Webshell安全检测篇
- 创造tips的秘籍——PHP回调后门
- 快讯 | 国泰航空数据泄露,940万乘客受影响
- 看我如何在Weblogic里捡一个XXE(CVE-2018-3246)
- 浅谈大型互联网的安全
- PHP安全编码
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
文章存档
- 2021年3月(4)
- 2020年12月(4)
- 2020年11月(5)
- 2020年10月(8)
- 2020年9月(8)
- 2020年8月(20)
- 2020年7月(47)
- 2020年6月(70)
- 2020年5月(41)
- 2020年4月(21)
- 2020年3月(120)
- 2020年2月(26)
- 2019年12月(12)
- 2019年11月(13)
- 2019年10月(17)
- 2019年9月(15)
- 2019年8月(13)
- 2019年7月(15)
- 2019年6月(15)
- 2019年5月(19)
- 2019年4月(23)
- 2019年3月(19)
- 2019年2月(11)
- 2019年1月(29)
- 2018年12月(24)
- 2018年11月(56)
- 2018年10月(79)
- 2018年9月(20)
- 2018年8月(17)
- 2018年7月(16)
- 2018年6月(7)
- 2018年5月(10)
- 2018年3月(6)
- 2018年2月(2)
- 2018年1月(11)
- 2017年11月(18)
- 2017年10月(6)
- 2017年9月(8)
- 2017年8月(7)
- 2017年7月(7)
- 2017年6月(15)
- 2017年5月(30)
- 2017年4月(7)
- 2017年3月(1)
- 2017年2月(4)
- 2017年1月(1)
- 2016年12月(3)
- 2016年11月(7)
- 2016年10月(6)
- 2016年9月(6)
- 2016年8月(102)
- 2016年7月(24)
- 2013年7月(1)
- 文章标签
-