实战 |记一次简单渗透测试实战

admin
admin
admin
102795
文章
87
评论
2023年6月13日11:57:24评论54 views字数 2869阅读9分33秒阅读模式

声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,鹏组安全及文章作者不为此承担任何责任。

现在只对常读和星标的公众号才展示大图推送,建议大家能把鹏组安全设为星标”,否则可能就看不到了啦

抽奖服务器中奖的师傅记得来兑换!

在进行渗透测试时,首先需要进行的是信息收集,这是一项非常重要的任务。就像孙子兵法所说的:“知己知彼,百战不殆”。因此,我们需要选择目标站点并搜集尽可能多的信息。以下是我们搜集到的信息:

URL: http://***.**.cn/

IP:58.**.**.**

端口:80, 443

注册信息(whois):
Domain Name: ***.***.***
Registrant: 上海********公司
Registrant Contact Email: cs@******.com.cn
Sponsoring Registrar: 北京*********有限公司
Name Server: f1g***.dnspod.net
Name Server: f1g***.dnspod.net
Registration Time: 2001-07-26 00:00:00
Expiration Time: 2022-07-26 00:00:00

子域名信息:
116.236.199.** mail2.***.**.cn
180.166.3.** import.***.**.cn
58.246.81.** query.***.**.cn
58.246.81.** mail.***.**.cn

邮箱:
liunian@***.**.cn

通过以上收集到的信息,我们简要分析了接下来的渗透思路:

  1. 首先,我们需要寻找主站的漏洞并利用它们,进一步渗透系统。
  2. 接着,我们可以尝试利用子站的漏洞来渗透系统,并收集更多的有用信息。

在进行渗透测试时,我们首先尝试寻找目标站点的漏洞。我们可以使用一些扫描工具,例如AWVS,对目标站点进行初步扫描,以确定是否存在可以利用的漏洞。不过,最简单直接的方法是手动浏览目标站点,仔细查看每个可能有价值的页面。如下:

实战 |记一次简单渗透测试实战
我们发现目标站点是基于Joomla CMS的,这对我们接下来的渗透测试具有重要意义。最近,Joomla爆出了许多RCE和SQL注入漏洞,因此我们可以利用这些漏洞来渗透测试目标站点。于是,我们可以使用已经公开的exp(http://avfisher.win/archives/287)对其进行测试, 如下所示:
实战 |记一次简单渗透测试实战

[+] vuls found! url: http://***.***.cn/, System: Windows NT EESTSWEB01 6.1 build 
7601 (Windows Server 2008 R2 Enterprise Edition Service Pack 1) i586 , 
document_root: C:/xampp/htdocs/*** , script_filename: 
C:/xampp/htdocs/***/index.php , shell_file: http://***.***.cn/***/***/***.php

我们发现目标站点存在漏洞,并且已经成功利用漏洞获取了webshell,但这并不意味着渗透测试已经结束。实际上,真正的渗透刚刚开始。我们发现该站点运行在Windows 2008 R2服务器上。因此,我们需要思考如何提升权限,以获得管理员权限。在菜刀中,我们可以执行命令“whoami”来查看当前的webshell权限是什么。如下:

实战 |记一次简单渗透测试实战

从我们之前使用的webshell命令中可以看出,我们的shell在system权限下运行,这意味着我们可以很容易地添加一个管理员帐户。下面是添加管理员帐户的命令:

net user <user> <password> /add
net localgroup administrators <user> /add

接下来,我们需要进一步查看和收集系统的一些常见信息,以帮助我们进行更深入的内网渗透。通常,我们需要收集以下信息:

  1. 系统信息 – systeminfo
  2. IP信息 – ipconfig /all
  3. 开放的端口信息 – netstat -an
  4. 运行的进程信息 – tasklist
  5. 局域网中公开的文件共享 – net view
  6. 局域网中的域的信息 – net view /domain

分析并提取有用信息:

主机名:***TSWEB01  
内网IP:192.168.0.10 
内网网关:192.168.0.230
操作系统:Windows 2008 R2
所在域:WORKGROUP
杀毒软件:未发现
WEB服务器组件:XAMPP
端口:80(HTTP), 3306(MySQL), 3389(RDP)
局域网所有的域:***, WORKGROUP

根据我们之前的分析,发现目标服务器已开放RDP端口(3389),但是该服务器处于内网中,我们无法直接连接。为了解决这个问题,我们可以考虑使用端口转发工具,将服务器的RDP端口转发到我们自己的外网服务器上,然后我们再连接到外网服务器上进行访问。第一步是上传端口转发工具。(可以参考http://avfisher.win/archives/318)

实战 |记一次简单渗透测试实战
第二步,外网服务器开启端口监听端口5001和5002
实战 |记一次简单渗透测试实战
第三步,内网服务器开启端口转发,将本地端口3389转发到外网服务器监听的端口5002上
实战 |记一次简单渗透测试实战
第四步,发起RDP外连外网服务器的端口5001
实战 |记一次简单渗透测试实战
现在,我们成功地使用端口转发工具连接到了内网服务器,可以访问该服务器上的一些服务。通过打开XAMPP,我们可以很轻松地查看网站的数据库数据:
实战 |记一次简单渗透测试实战
为了进一步渗透内网,我们需要对内网进行扫描,看看内网开启了哪些服务,这里我推荐一款快速扫描内网的工具(MyLanViewer),结果如下:
实战 |记一次简单渗透测试实战
实战 |记一次简单渗透测试实战
内网的一些共享目录:(各种内部资料和信息)
实战 |记一次简单渗透测试实战
实战 |记一次简单渗透测试实战
实战 |记一次简单渗透测试实战
一些内网的系统:私有云云存储管理系统:(可以为共享目录设置权限)
实战 |记一次简单渗透测试实战
无线路由器:(内网流量嗅探和截取)
实战 |记一次简单渗透测试实战
打印机:(获取到了部分企业联系人的通讯录)
实战 |记一次简单渗透测试实战
实战 |记一次简单渗透测试实战

实际上,目前我们仅仅获得了一台 WORKGROUP 级别的服务器,仍有多台服务器处于内网中。我们还有很多继续突破的思路可供选择,例如:
1、结合通讯录和子域名邮箱,生成密码字典进行暴力破解,查找其他有用信息;
2、继续挖掘和分析其他可能存在的子站漏洞,逐步扩大攻击面;
3、尝试破解无线路由器密码,嗅探网络流量,获取企业员工的用户名和密码等等。
总之,渗透测试是一门特殊的艺术,需要善于利用已有的信息并不断变换思路,最终达到攻击目标的目的。渗透测试需要经验、细心和耐心,你必须从黑客的角度考虑每一个可能存在的漏洞并不断利用和扩大你的攻击成果。在这次实战中,我们总结了以下一些经验:
1、要有足够的耐心搜集目标的所有可能相关的信息;
2、仔细地观察和了解目标,不要放过任何一个细节,可能就存在突破口;
3、善于总结和提取所有已知信息,并结合自己平时积累的各种渗透测试思路进一步扩大攻击面;
4、把每次实战中接触和学习到的信息总结起来,并从中提炼实用的思路以备下次攻击使用。

原文始发于微信公众号(鹏组安全):实战 |记一次简单渗透测试实战

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月13日11:57:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 |记一次简单渗透测试实战https://cn-sec.com/archives/1802870.html

发表评论

匿名网友 填写信息