Throwback目前是Tryhack Me额外的付费内网靶场练习。靶场链接类似于HTBProlab里面的机子。收费上是30天60刀,当然如果觉得贵的话可以考虑下同平台的wreath和holo也是类似的内网靶场。只需要开个会员就能直接开玩这两个靶场了。靶场链接https://tryhackme.com/network/throwback
Throwback是一个比较基础的内网靶机主要涉及以下知识点:
这篇文章首先会对10.200.29.138防火墙和10.200.29.222进行渗透。
首先使用nmap进行该网段的扫描探查存活主机,主要找到四台存活主机,第一台138(FW01)。开了ssh,http,https服务
命令:nmap -sV -sC -p- -v 10.200.29.0/24
147开了22和1337(我也不知道这是哪里来的)
最后是232(MAIL)开了ssh,http,imap服务。
其中138(FW)是一个pfsense的开源防火墙登录界面
232(MAIL)是一个登录界面。页面直接提供了一个默认游客登录账号。
首先必应查了下pfSense的默认登录用户密码为admin:pfsense
当然直接试了以下可以登录成功。点开Diagnoses的CommandPrompt
这里直接有命令台,试了一下whoami直接是root的权限。那好极了可以直接上传反弹文件了。
往下拉可以看到有一个直接执行php命令,那就把kali自带的反弹php文件复制粘贴上去。稍微修改下IP。然后记得把去掉即可。然后点执行。
提前开启nc,成功接收到root权限的shell。
接下来THM提示,系统上存在一个奇奇怪怪的日志文件。那可以使用find命令进行查找,其中最底下有个login.log文件
命令:find / -name *.log -type f
这里先来到232(MAIL)的登录界面,利用页面给的游客账号登录进去。
这里点开Addresses以后可以发现有很多邮箱用户名。
关于爆破可以使用Burp或者是hydra都行。这里我跟着指引用hydra,首先用burp抓个包看看登录URL,和用户名的字段是什么。
留意一下登录失败所反馈的关键词incorrect。
随后开始进行爆破
Hydra命令:hydra -L username.txt -P password.txt 10.200.29.232 http-post-form'/src/redirect.php:login_username=^USER^&secretkey=^PASS^:F=incorrect'-v
其中登录DaviesJ发现一封奇怪的邮件。Davesj发给他自己一封shell.exe文件。当然后面理解了一下可能是有域内用户定时点开文件那么可以定制一个恶意脚本。
既然都自己发给自己一个恶意脚本,这里我们也做一个。
这里登录回游客账号然后给所有人都发了一个恶意文件。
原文始发于微信公众号(神隐攻防实验室):网络安全红队内网基础靶场:Throwback01(默认凭证登录,命令执行,登录界面爆破)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1054444.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论