安全矩阵

 找回密码
 立即注册
搜索
查看: 748|回复: 0

实战 | 渗透测试从RCE到SSH登录

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2022-12-28 14:27:52 | 显示全部楼层 |阅读模式
原文链接:实战 | 渗透测试从RCE到SSH登录


0x01 前言

在渗透测试中,拿到 webshell 后执行命令总会碰到很多不便,而使用 ssh 登录则会方便许多。

相比使用 webshell 工具执行命令,ssh 连接可以有命令提示、路径补全、支持二次交互等优势,本文记录一个从 WEB RCE 漏洞到 SSH 登录的姿势。

0x02 过程

Getshell

首先通过 Shiro 550 得到一个 shell
编辑

因为网站不出网,所以不能直接反弹 shell,通过 base64 写入 webshell 到 web 目录
  1. <code class="hljs">echo <base64 webshell> |base64 -d > webapps/uploadImg/shell.jsp;ls -lah</code>
复制代码



架设代理

网站不出网,所以需要架设 socks 代理访问 ssh 端口及内网主机,这里使用 Neo-reGeorg。

首次使用,先生成自己密码的 neoreg 服务端代码
  1. <code class="hljs">python3 neoreg.py generate -k <your-password></code>
复制代码



执行后在 neoreg_servers 找到对应服务端语言的文件,这里是 tunnel.jsp,然后通过上面的 shell 上传到目标服务器 web 目录上,再通过 neoreg 连接
  1. <code>python3 neoreg.py -k <your-password> -u https://xxx.com/uploadImg/tunnel.jsp --skip -l 0.0.0.0 -p 30080
  2. </code><code># -k 指定连接密码,就是生成时用的密码</code><code>
  3. # -u tunnel.jsp 的url</code><code>
  4. # --skip 忽略https证书错误
  5. </code><code># -l 本地socks服务监听ip
  6. </code><code># -p 本地socks服务监听端口</code>
复制代码



写入 ssh 公钥

为了尽量少修改服务器配置,通过写入 ssh 公钥可以不修改密码或者破解密码的情况下连接上 ssh。

这里使用xshell生成秘钥,默认选项生成就可以了,shell会自动保存秘钥对,当然使用ssh-keygen也是可以的
编辑

然后把生成的公钥文件,复制到目标主机的 ~/.ssh/authorized_keys 文件中,如果不存在可以创建
编辑

连接 ssh

配置 ssh 连接 127.0.0.2
编辑

配置用户名及公钥连接,公钥选择前面生成那个
编辑

配置代理,使用上面 neoreg 构建的代理
编辑

成功连接 ssh
编辑

为什么连接 127.0.0.2

经过实践发现,通过代理连接目标主机的内网 ip 172.xx.xx.33 连接不上,而连接 127.0.0.1 时则提示主机指纹改变的问题,需要重新写入指纹到目标主机才能连接,然而非 root 用户无法写入,连接 127.0.0.2 则完美避开问题
编辑

文章来源:r0yanx
博客原文地址:https://r0yanx.com/2021/11/04/渗透测试从RCE到SSH登录/​

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:28 , Processed in 0.013318 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表