记一次攻防实战全流程

admin
admin
admin
139544
文章
114
评论
2024年1月22日10:57:50评论11 views字数 2337阅读7分47秒阅读模式

如果我嚷几声,能叫醒那几个人,你就绝不能说他没有毁坏这铁屋的希望

DMZ区

1、信息收集

首先进行信息收集,使用Nmap对其进行扫描

端口服务:21、22、80、111、888、3306、8888,可以看到目标存在ftp、ssh、http等端口,且是一个Linux的操作系统。

记一次攻防实战全流程

扫描敏感文件

记一次攻防实战全流程

访问目标站点的robots.txt目录

记一次攻防实战全流程

访问目标站点

记一次攻防实战全流程

可以看到是ThinkPHP V5框架,使用POC测试一下该框架的远程命令执行漏洞

2、漏洞利用–Getshell

记一次攻防实战全流程

可以看到成功执行了命令

第一种方式写shell

使用工具,exp2可以执行命令

记一次攻防实战全流程

直接echo写入一句话

记一次攻防实战全流程

可以看到shell已经被传上去了,但是提示语法错误

记一次攻防实战全流程

蚁剑返回数据也为空

记一次攻防实战全流程

查看上传上去的一句话的内容

记一次攻防实战全流程

可以看到$_POST被过滤了,此处可以利用Base64编码进行上传绕过

记一次攻防实战全流程

再次上传后,蚁剑已成功连接

记一次攻防实战全流程

第二种方式写shell

直接在url里写shell

记一次攻防实战全流程

在蚁剑中可以看到shell1.php已成功上传

记一次攻防实战全流程

第三种方式写shell

先在kali上执行

之后利用远程命令执行漏洞拿shell,执行

命令执行之后,拿到了shell,可以继续获取交互shell。

记一次攻防实战全流程

3.上线cs

使用命令查看内核

记一次攻防实战全流程

cs生成木马Beacon

记一次攻防实战全流程

命令如下(如果你是Windows那就是genCrossC2.Win.exe)。

记一次攻防实战全流程

通过蚁剑将生成的文件上传到目标中,并赋予权限以执行

记一次攻防实战全流程

此时cs获取到shell

记一次攻防实战全流程

办公区

1、信息收集

代理对目标进行扫描。

解释一下,这里为什么用 ‘-Pn -sT’,因为socks4a不支持icmp协议,所以要使用不进行ping命令的-Pn,’-sT’则代表进行Tcp扫描。

记一次攻防实战全流程

可以发现主机开放了21、22、80、888、3306、5555、8888端口

配置代理扫描敏感文件

记一次攻防实战全流程

访问目标站点的robots.txt目录,找到robots.txt文件中隐藏的后台地址

记一次攻防实战全流程

访问目标站点

2、漏洞利用–Getshell

手工注入

判断是否存在注入,输入’报错

记一次攻防实战全流程

注释后成功,存在注入

记一次攻防实战全流程

查找数据库

记一次攻防实战全流程

查找表名,逐个读取

记一次攻防实战全流程

记一次攻防实战全流程

查找字段

记一次攻防实战全流程

查找字段内容

记一次攻防实战全流程

sqlmap注入

查找数据库

记一次攻防实战全流程

查找表名

记一次攻防实战全流程

查找字段

记一次攻防实战全流程

查找字段内容

记一次攻防实战全流程

获取到帐号密码

通过之前找到的后台地址进行登录

登陆后

记一次攻防实战全流程

在模板中写入一句话木马

记一次攻防实战全流程

记一次攻防实战全流程

设置代理蚁剑链接

记一次攻防实战全流程

3.上线msf

使用命令查看Linux版本

记一次攻防实战全流程

蚁剑中可以看到这是一个64位的linux系统,据此信息在MSF中生成后门

记一次攻防实战全流程

利用蚁剑上传到目标并开启监听

记一次攻防实战全流程

在MSF中开启监听,与目标建立连接,这里需要注意,代理使用的reverse_tcp是MSF作为监听,让目标连到我们,而这次代理使用的bind_tcp是目标作为监听,我们需要连到目标,这个逻辑正好是相反的。

使用代理新开一个msf

记一次攻防实战全流程

此时MSF获取到shell,查看权限

记一次攻防实战全流程

查看session信息

记一次攻防实战全流程

获取内网网段地址:

记一次攻防实战全流程

22.0是我们刚才利用的网段,现在我们需要访问另一个网段的机器。需要添加路由。

打印路由信息。

记一次攻防实战全流程

这一步也可以自动添加路由

之后对33.0/24段进行扫描

记一次攻防实战全流程

接下来继续使用该模块扫描端口

记一次攻防实战全流程

可以发现主机开放了135、138、445、3389端口

核心区

1、信息收集

解释一下,这里为什么用 ‘-Pn -sT’,因为socks4a不支持icmp协议,所以要使用不进行ping命令的-Pn,’-sT’则代表进行Tcp扫描。

记一次攻防实战全流程

可以发现主机开放了135、138、445、3389端口

2、漏洞利用-MS17-010

使用了MSF的模块对它进行探测看看是否存在永恒之蓝。

记一次攻防实战全流程

用永恒之蓝攻击,一般首先使用ms17_010_psexec进行利用,因为目标是处于内网,所以这里是使用bind_tcp进行正向连接,若利用失败出现LoginError那么表示该机器可能需要指定SMBUser和SMBPass这时可尝试使用原始模块:ms17_010_eternalblue,但是某些版本还是可能会出现现要求指定SMBUser及SMBPass

记一次攻防实战全流程

查看session,至此已拿到所有目标权限

记一次攻防实战全流程

修改密码

记一次攻防实战全流程

3、远程登陆目标

proxychains代理登录

记一次攻防实战全流程

proxifier代理登录

记一次攻防实战全流程

端口转发登录

添加端口转发

记一次攻防实战全流程

记一次攻防实战全流程

删除端口转发

记一次攻防实战全流程

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

原文始发于微信公众号(儒道易行):记一次攻防实战全流程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月22日10:57:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次攻防实战全流程https://cn-sec.com/archives/2415950.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息