渗透测试
s
wireshark抓QQ内网数据包还原原始数据
我们要满足内网条件就要让我们的手机和电脑在同一个局域网之中,要实现这个只需要把我们的电脑和手机都连接上我们的校园网就好
然后我们查看手机的IP地址
现在我们拿到了我的ip地址,现在我们打开我们的小鲨鱼wireshark,在小鲨鱼的数据流里面双击WAFN里面
双击进去以后我们看到里面有好多数据包
这样的话我们无法很好地筛选出我们想要的数据包(也就是qq的数据包),我们现在过滤器添加一个筛选,
ip.src==10.33.10.116
欧克,现在我们把该准备好的东西都准备好了,然后我们手机上面向我们的电脑传一张图片,选中一个数据包后我们右键选中追踪流中的tcp流
我们现在看到tcp流的数据包,我们在show data as中将ascii码换成原始数据
我们把这个数据另存为1.jpg放在桌面接下来用010把图片打开,因为我们要还原的是一个图片数据,那么我们要知道图片的文件头是什么,那什么是文件头
文件头是直接位于文件中的一段数据,是文件的一部分,文件头的作用简单点说就是告诉电脑这个文件类型是什 ...
讲解
无参数文件读取
1234get_defined_vars() 返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。 array_pop() 是删除并返回数组最后一个元素 current() 返回数组中的当前元素的值。 next() 返回数组中的下一个元素的值。
123?c=eval(array_pop((next((get_defined_vars())))));cmd=system(cat flag.php);
2
12345scandir() 函数返回指定目录中的文件和目录的数组。print_r() 函数用于打印变量,以更容易理解的形式展示。localeconv()函数会返回一一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."current() 函数返回数组中的当前元素的值。别名是 pos()array_reverse() 函数将原数组中的元素顺序翻转,创建新的数组并返回。
?c=highlight_file(next(array_reverse(scandir((pos(localecon ...
内网
a
工作组: 工作组(Work Group)是局域网中的一个概念。它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理
域环境:域(domain),是局域网一组计算机的名称。用于企业或者公司计算机组的统一管理和远程办公,一般必须有一台独立的域服务器,用于验证加入域的电脑和用户,这是域和计算机组的最基本的不同,计算机域的安全性更高。建立信任关系后,不同域的计算机可以相互访问
信息收集
123456789101112131415161718192021222324252627282930313233systeminfo 查看系统信息net user 查看用户列表net start 查看开启服务net session 列出本地计算机客户端会话ipconfig /all 查看是否存在域echo %PROCESSOR_ARCHITECTURE% 系统体系结构wmic product get name,version 查看安装的软件版本及路径wmic startup get command,caption 查看启动程序(启动项)信息powershell “ ...
ctf-web
ctfshow web模块wp
web3
我们看到题目可以知道这是一道文件包含题目,那么我们直接拿php://input协议
然后将我们post的php代码换成
1<?php system('cat ctf_go_go_go');?>
得到flag
web4
查看提示是文件包含中的日志包含
我们先百度nginx的日志文件目录为
/var/log/nginx/access.log
我们利用题中的文件包含访问日志文件
我们看到这个日志文件是会把我们的浏览器信息也记录也就是user-agent信息我们就把一句话木马写到这个里面
我们打开蚁剑连接
web5
我们打开题目后看到三个检测第一个ctype_alpha函数检查是否为字符串 is_numeric检测是否为数字最后一个MD5值相同
在MD5里面只要是0e开头的都会被认为是0那么我们找到一个字符MD5是0e开头的和一个数字的就行了
这里附上一些0e开头的MD5值
1234567891011121314151617181920 ...
dc-7靶机
z这次的目标是dc-7靶机我们拿到目标的时候信息收集是一个必然的过程,端口,目录,网站架构这是我们要知道的
这里我们可以得到我这台内网里面的dc-7的IP地址
我们继续进行信息收集利用nmap收集信息
这里我们可以拿到这个靶机的开放端口信息80 和22.网站是drupal8等一类的信息
这个时候我们继续扫描目录,之后再访问网站看看有什么样的收获
这里我们看到一个@DC7USER,这个是和其他新的drupal的网站不同的地方,我们尝试百度一下
这端英文的的说让我们要跳出框架,
百度@DC7USER的结果发现
找到了一个账号密码我们尝试登录失败后,我们之前是知道22端口是开的我们尝试直接登录一下22端口
成功登录了
接下来我们继续靶机内部的信息收集,这个时候我们想拿到更多的信息我们可以先试着提权,但是在这里直接切root和suid都失败了,这里看网上的教程是要去backups.sh文件里面找到信息,发现在mbox中记录着root的定时任务,项目位置为/opt/scripts/backups.sh,我们切过去看到
这里的drush ...
dc-3靶机
dc-3靶场复现
搭建好dc-3靶机,然后那我们的dc-3靶机的ip是192.168.154.137
第一步就是扫描开放端口
nmap -A -p- 192.168.154.137
这里扫描到的是80端口,然后这里还出现了joomla这个字眼,这个东西就是一个非常常用的博客网站我们就直接拿joomscan这个专门扫他的工具来进行扫描。
joomscan –url 192.168.154.137 –enumerate-components
这里扫描到版本是3.7.0而且还有一个可能存在的sql注入,我们接着在exploits找对应漏洞看一下有没有3.7.0版本的sql注入
searchsploit joomla 3.7.0
这里确实是有一个对应版本的注入漏洞我们打开看一下这个txt
这里面有它使用的sql注入语句
sqlmap -u “http://192.168.154.137/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=up ...
dc-2靶机
a
dc-2靶机复现
我们把dc-2靶机和我们的攻击机kali放在同一个网段。
利用nmap -A -p- 192.168.154.0/24 扫描得到dc-2的IP地址,以及开放的端口状态
后先去访问一下这个网站发现这里访问速度十分缓慢,我们更改一下我们本地的host文件将192.168.154.135直接对应到dc-2这个域名上面,加快访问的速度。不然就会访问不上
访问上了以后
我们看到这个是wordpress的框架,这里的flag1里面给了让我们用cewl让我们想办法登录这个工具使生成字典的一个工具我们利用他来生成一个密码字典
cewl http://dc-2 -w unamne.txt
这样得到一个密码字典,这个工具使用的时候要小心一点,不然可能会把硬盘直接炸了。我们发现我们要找到一个登陆的文件我们接下来就要爆出一个登陆的网址。
这个Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件
nikto -h dc-2 -o dc-2scan.txt
这里找到一个登陆的界面wp ...
权限提升
提权环境本地/web
相较于web环境的提权被本地提权是容易实现的
步骤
win溢出
1.信息收集查看我们现在具有的权限(whoami/priv),以及目标机器上面的补丁,(systeminfo)这个命令可以打印出系统的信息:利用漏洞查找工具vulmap(不适应在web权限上面执行),wesng windowsvulScan找到可能存在的漏洞然后利用msf或者特定的exp(这个exp直接到GitHub上面找到来就好了)。
2.执行对应漏洞获取会话,再利用对应的提权漏洞将会话的权限提升
本地提权漏洞
利用本地提权的漏洞(建立在本地环境下的提权,利用已有的本地提权得到exp执行),将我们的权限提升到system
wesng使用:我们在目标靶机上面执行systeminfo拿到目标靶机的信息
到对应目录下拿python执行wes.py 对应靶机信息处理得到可能存在的漏洞
python wes.py systeminfo.txt -o *.csv
这样就能把对应systeminfo.txt的机器存在的漏洞以csv的格式存储
win2003可以使用at命令提权
at 21 ...
dc-1靶机复现
dc-1靶机是一个比较贴近现实的靶机,这次的任务就是把他复现成功。
1.首先下载dc-1靶机并且那vm打开就好然后把kali和dc-1都调成nat模式然后就开始攻击就好了
首先这个就是基于内网的一次攻击,我们就直接扫描我们kali的网段(这一步如果是在我们现实的环境里我们要拿到域名来反回来查ip地址)
在kali中利用ifconfig扫描
看到ip=192.168.154.134,然后我们利用nmap扫描网段找到目标靶机
在这里-sP指令是只对IP地址进行ping操作探活,0/24的意思是告诉namp扫描这个网段的所有主机。我们探活到了三个ip我们接下来要对每一个IP地址进行端口的探测来判断哪一个是目标(记得把自己的kali排除)然后使用指令nmap -A -p- 192.168.154.134扫描所以端口 -A是全面系统检测探测信息极其全面
这里可以看到的信息是挺全的我们可以看到框架Drupal 7 也是给出来了我们也是可以访问一下80端口来看一看
也是可以看到这个框架的那我们就来百度一下这个是不是有什么漏洞,额找到的看不懂然后就直接在msf里面找 ...