目录
环境搭建
攻击场景
寻找外部入口突破
内网渗透代理隧道
内部横向渗透攻击
总结
环境搭建
参照《Metasploit渗透测试魔鬼训练营》第二章进行环境搭建。搭建后测试环境为:
kali: 10.10.10.128
owasp ubuntu: 10.10.10.129
win2k3: 10.10.10.130
metasploit ubuntu: 10.10.10.254/192.168.10.254
xp: 192.168.10.128
win7: 192.168.10.129
说明:
1. 添加win7主机,配置静态ip为192.168.10.129
2. 默认搭建好环境后各个主机是可互相通信,需要在网关服务器配置防火墙策略使DMZ区两台服务器无法与两台内网主机进行通信,命令如下:
iptables -I INPUT -s 10.10.10.1/24 -d 192.168.10.1/24 -j DROP
3. 假设此网络拓扑中只有web服务器对外开放,其他四台内网主机外部都不可访问
4. owasp网页稍作修改,可忽略
Mesploit渗透环境示意图.jpg
攻击场景
寻找入口突破
渗透测试的第一步是进行信息收集,对域名,ip信息,whois查询,端口服务,web程序,中间件,操作系统等信息进行收集整理,对dvssc进行简单的信息收集:
域名 www.dvssc.com
ip:10.10.10.129
操作系统: Linux 2.6.17 - 2.6.36
获取webshell
通过查看页面可以发现后台登录入口,(在正常渗透测试环境中,可能是通过爬虫,目录字典爆破,google hack, 查找编辑器等方式找到后台)通过burpsuit抓包,在后台找到上传点,通过爆破得到后台账号密码:admin admin
上传大马连接:
大马.jpg
获取web服务器权限
此时我们已经获取得到webshell,根据操作系统版本可以使用脏牛提权得到web服务器权限。
上传reverse_shell.pl到服务器:
上传reverse_shell_pl.jpg
执行perl脚本.jpg
成功反弹shell.jpg
获取交互式shell
反弹得到的shell是一个terminal,而不是一个交互式shell,执行python -c 'import pty;pty.spawn("/bin/sh")',得到交互式shell
交互式shell.jpg
获取服务器权限
上传dirty.c到/tmp目录下,执行dirty.c进行脏牛提权:
脏牛提权.jpg
脏牛提权成功.jpg
内网渗透代理隧道
得到服务器权限,继续渗透内网,建立web隧道对内网进行探测,使用tunnel_nosocket.php+proxychains:
web隧道.jpg
web隧道建立成功.jpg
通过web代理隧道nmap扫描发现10.10.10.130主机和10.10.10.254:
nampC段扫描结果.png
使用ms08067攻击10.10.10.130服务器
ms08067攻击成功.png
hashdump获取hash.png
破解hash得到密码.png
远程连接130服务器.png
hydra爆破254服务器密码
hydra爆破密码.png
爆破成功.png
收集内网信息
last查看登录信息,可以看出有192.168.10网段存在
last查看登录信息.png
还可以通过uname -a , /etc/issue, 网络配置信息,ifconfig, 历史命令等来收集信息
收集内网信息.png
通过网关服务器搭建代理进入192.168.10网段
我们现在使用的80隧道可以访问10段的DMZ区,但是由于防火墙策略无法通过socket直接访问192网段,但是我们已经得到网关的用户名密码,尝试通过254网关代理得到
两层代理进入192网段.png
kali的3333端口与10.10.10.254主机建立隧道,现在kali可以直接连接本机3333端口连接到254主机
连接kali的3333端口.png
