渗透测试之常规操作

简介: 渗透测试之常规操作

背景


这是一个真实的故事


有一天,我正躺在工位上,一边吹着空调,一边悠闲地陪青春靓丽的实习生小妹妹唠嗑。突然接到销售大大的电话说去给一个客户做个扫描,让我带个人赶紧过去支撑。




听到这话,我淡定咬了一口手里的苹果,咽了下去,然后打开手机APP预约租了一辆最便宜的车开向了目的地。时间紧,目的地远.





我家都没有回带着另一个实习生妹妹直接去了目的地。阴森森的夜晚还夹闪着电光,车窗外隐约带着些细雨,到现场的时候已经是深夜了,我只好带着浑身打着冷颤的实习生妹妹开了2间房间先行休息。


自动档+手动挡同时进行



第二天到达现场非常壮观,人烟稀薄,一个妹妹也没有看到。耐着性子跟他们的技术负责人吹了会牛x,了解了一下目前情况就把他打发走,自己开始干活。



掏出去年省吃俭用在咸鱼二手市场低价买的电脑,随便拷贝了几个安装环境和工具。



这么大的网络,这么多的C段,漏洞如数家珍,自动化必不可少。


我暂时用的是内网扫描套装,Goby内测版+Xray高级版+爬虫。


自动话思路:


把目标网段丢到Goby中,调用接口扫描出来的资产,(域名/ip)+端口的形式丢到爬虫自动爬,爬完会自动丢到正在监听状态的Xray。


Goby新建扫描任务


调用爬虫的核心代码,从github拿来的

46bd3ce365c8c5d60ede8754e9fc973f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

很简单,不多说了。


Xray怎么配置监听,很简单,不多说了。


手动思路:


Goby+Xray+Burpsuite


burp多设置一个上层代理就行了,如图。很简单,不多说了。


ee71f2c6044d5c41a99fe5de8fff1ed5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

一边自己抓包测试,一边xray帮忙fuzz测试,美滋滋。


当然视情况,如果有安全设备防御,尝试降低请求速度来绕过,很简单,不多说了。

357aba5f22caae1db212e8a6daa37cc3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


从冰蝎到哥斯拉


没花多长时间,高危漏洞就来了:


struts2-045struts2-046046基本包含045,懂的都懂,我自己也没去动手研究过原理,手动构造利用payload不太清楚,这边直接上struts2漏洞利用工具,很简单,不多说了。


ea616e063db3d916beb32acafff9758d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


看了下用户是administrator用户。


直接上传文件,先尝试上传了一个txt测试文件,发现在网站根目录可以正常访问。


然后上传了一个老版 冰蝎jsp木马,提示上传成功。


但是冰蝎连接失败,打开显示500报错。

004e33d1ca8999cfe981304be85dc9db_640_wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1.jpg


随后尝试了一下新版的冰蝎,不过连都连不上,估计是有BUG。我这边初步判断冰蝎马是被拦截了。


尝试上传免杀大马,由于大马文件体积稍大了点,200多K,通过利用工具无法成功上传。



随后我掏出Webshell管理工具-哥斯拉,用它生成了一个shell.


点开标签,管理-生成


bcfb1e3102d6f333ebade7dfc66abc31_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


接着使用Struts漏洞利用工具上传。


b8519900c97b53f3aaf92e563c131959_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


提示上传成功,使用哥斯拉工具连接也成功了,很简单,不多说了。


aad123c13b5645d15951ca3f0cadbe76_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


从代理转发到远程连接


意料之中。这是一台windows的服务器,看了一下本地杀软,发现老朋友360,习惯性的,我先是上传了流量转发脚本。


1e2de07259ed6efe4e7d163ca519071a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


打开网页,查看代理转发是否成功执行。


bcd620611f6d2d3d014e5fc0e1c01d6e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


5e23cb8af530fae618b9fb1241d1cdbe_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


这里开启代理转发的时候,本地python缺个库,到外网拷贝一个过来,很简单,不多说了。

fe2490c6eafe5c2a15d13292205268ec_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png



然后就可以连接本地9999端口,进行代理。


再进行代理访问,很简单,不多说了。


本来是直接配置Goby直接连接sock5代理来扫描,但是这个服务器扫描起来网络跟抽了风一样,所以直接放弃。

6338698a6604bdd6adbc053056b034e9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


看了下本地没有开防火墙,且在之前的测试过程中,猜测我和服务器连接的中间也没有硬件防火墙的策略,所以尝试看能不能直接连服务器,很简单,不多说了。


看了一下,服务器没有开启远程端口服务。

3ab58e4e71fd37cfaaed18123739fd0b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


没有开相关服务,因为是管理员权限了,老套路了。


ffb76d9ad5fd9806fcf87734640cc769_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


先直接新建一个名叫txf 的管理员账号,很简单,不多说了。

91f8ef8807b8d53251efefde3f2a2266_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


执行开启3389的命令


e3ea69f585324bd573d6d1e86c46c28e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


查看是否开启成功。

e1070e89544a0b598f6078e549a280fc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


尝试直接连接,很简单,不多说了。


5c080d1469c616cb5acfb3f9e944d470_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


ipconfig /all ,看了一下,大概有3个网口,这个内网应该不算小。


随便翻了翻配置文件,收集到了一堆账号密码,很简单,不多说了。


4d5cff8223f7c40e4bb19ab14b8c90c5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


本地不能直接往服务器直接拖拽工具,且通过webshell或者大马上传会连接超时。


断开连接,进行配置,设置共享,很简单,不多说了。

b18ca0c8aaf0c5cb2172c615f4c34e51_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


上传个mimikatz抓hash。


咱们肯定要横向渗透,扩大战果的嘛。通过之前收集的密码和当前的密码爆破其他网段的smb服务,最终拿下域控。很简单,不多说了。


总结


本文略微基础,没有什么特别要注意的知识点,很简单,不多说了。


相关文章
|
消息中间件 Java 数据库
【消息队列开发】 实现 VirtualHostTests 类——测试虚拟主机操作
【消息队列开发】 实现 VirtualHostTests 类——测试虚拟主机操作
|
SQL DataWorks 数据可视化
DataWorks操作报错合集之测试OSS数据源的连通性时,出现503 Service Temporarily Unavailable的错误,是什么导致的
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
|
JSON Java 测试技术
SpringBoot实用开发篇第二章(测试操作)
SpringBoot实用开发篇第二章(测试操作)
|
SQL DataWorks 数据处理
DataWorks操作报错合集之在创建ES的数据源时,测试连通性提示无法连通,出现报错,如何解决
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
|
消息中间件 Java 测试技术
【消息队列开发】 测试MessageFileManager(对硬盘中的消息操作)类
【消息队列开发】 测试MessageFileManager(对硬盘中的消息操作)类
|
SQL 消息中间件 Kafka
Apache Hudi测试、运维操作万字总结
Apache Hudi测试、运维操作万字总结
889 1
|
数据采集 SQL 分布式计算
DataWorks操作报错合集之在执行离线同步时,如果测试连接突然报错并出现类似于“exception occurs:path=[/di/testDetailConnectivity]”,如何解决
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
|
数据采集 DataWorks 关系型数据库
DataWorks操作报错合集之在DataWorks运行任务时出现链接超时,但在测试连通性时显示正常连通是什么原因导致的
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
267 0
|
JSON 数据格式
在mPaaS中,通过Postman测试移动网关,可以按照以下步骤操作
在mPaaS中,通过Postman测试移动网关,可以按照以下步骤操作
339 2
|
XML Java 数据格式
Spring5学习(七):注解方式进行AOP操作 及 多种通知类型的测试
先来介绍一下AOP操作中的几个术语: 1、连接点:指类里面可以被增强的方法 2、切入点:指实际被增强的方法 3、通知:指实际增强的逻辑部分 4、切面:把通知应用到切入点的过程
321 0
Spring5学习(七):注解方式进行AOP操作 及 多种通知类型的测试