拯救圣诞世界
拯救圣誕世界
注:本文首發(fā)地址:https://www.sec-in.com
文章作者為-句芒安全實(shí)驗(yàn)室-成員之一,歡迎微信搜索關(guān)注我們。
一、背景
“歡迎來到圣誕世界,它糟透了,但你會喜歡的。”
? ? ? ? ? ? ? ? ? ?——————圣誕智者
? ? 2020年某年某月某日某個凌晨,隨著一聲“vktr”,你緊緊地握著手中的手機(jī),心滿意足的閉上了眼睛,你的意識逐漸模糊,緊接著,你的身體無力的壓住了桌上的MAC。在之后的日子里,你從一個名不經(jīng)傳的小人物成了新聞的焦點(diǎn),遺憾的是你卻沒有機(jī)會看到這一刻。
? ? 圣誕世界,被遺棄的文明,此時正面臨一場網(wǎng)絡(luò)戰(zhàn)爭。能夠拯救世界的方法只有喚醒巨人。可喚醒巨人的方法被敵人偷走了,現(xiàn)在你臨危受命,需要幫助世界拿到拯救巨人的方法。接下來你會收到一份名單,這將是你的重點(diǎn)目標(biāo),根據(jù)線人情報,秘密會藏在某一個目標(biāo)中。
? ? 現(xiàn)在你可以針對他們進(jìn)行攻擊,但我們只能為你爭取一周的時間。并且你需要注意不要被對方發(fā)現(xiàn),我們將為你提供一個情報據(jù)點(diǎn),兩套裝備以及10$的資金支持,當(dāng)你獲得那個秘密后,你可以隨時把你的成果匯報到我們的據(jù)點(diǎn)。最后,你只有完成任務(wù),你才可以回到你的世界。接下里,交給你了!
? ? 智者奇思妙向會指引你前進(jìn)。
二、藏身
接到目標(biāo)的你需要幾臺匿名服務(wù)器來支持你發(fā)起進(jìn)攻。你可以去網(wǎng)上看看,祝你好運(yùn)。 --智者奇思妙向? ? 于是你拿著10$準(zhǔn)備購買其他世界的服務(wù)器進(jìn)行進(jìn)攻,幾經(jīng)對比,你選擇了vultr(https://www.vultr.com)作為你的服務(wù)商,首先它根據(jù)服務(wù)器配置不同按時收費(fèi),其次可以鏡像還原,最后用完即可銷毀。
? ?它滿足你用時短,資金不足,可鏡像,可立即銷毀的需求。你感覺很滿意。
? ?可是當(dāng)你購買的時候,你發(fā)現(xiàn)你需要注冊一個賬號。而注冊賬號需要郵箱。注冊郵箱需要手機(jī)號。手機(jī)號和你的身份ID綁定。這意味著當(dāng)你面臨某些意外時,你不再安全。
? ?可你是一個聰明人,你知道事情的源頭出在了手機(jī)號的問題上。你當(dāng)然會解決這個問題。
? ?于是你準(zhǔn)備了一臺干干凈凈的機(jī)子,掛上了不知道從哪里來的代理,找到了一個接碼平臺(https://www.yinsiduanxin.com)。
? ?你想利用接碼平臺來注冊一個郵箱,于是你嘗試了126、163等幾個郵箱服務(wù)商,可你發(fā)現(xiàn)虛擬號碼并不支持,你不想在這件事上花費(fèi)太多的精力,于是你google了幾家國外的郵件服務(wù)商準(zhǔn)備利用接碼平臺中其他國家的手機(jī)號進(jìn)行注冊,一番操作后你發(fā)現(xiàn)很多手機(jī)號已經(jīng)注冊過郵箱了,當(dāng)你測試第N個服務(wù)商后,發(fā)現(xiàn)依舊提示手機(jī)號已被注冊,你決定換個思路,于是你選擇了密碼找回,并選擇了zoho(https://mail.zoho.com)。
? ?只是因?yàn)檠矍皠偤檬撬_@次的事情出乎意料的順利,你發(fā)現(xiàn)可以通過短信驗(yàn)證碼登錄,于是你利用接碼平臺順利的登錄了上去。
? ?現(xiàn)在,你擁有了一個匿名郵箱,雖然它存在公用的風(fēng)險。緊接著你利用這個郵箱注冊了vultr的賬號,注冊登錄后你需要再往郵箱發(fā)送一封確認(rèn)的郵件,之后你回到郵箱點(diǎn)擊確認(rèn)連接,最后,你在點(diǎn)擊激活后把郵件從郵箱中徹底刪除。
? ?至此,你擁有了一個完全匿名的vultr賬號。唯一遺憾的是你需要充值的時候銀行卡會產(chǎn)生一筆服務(wù)器消費(fèi)的記錄,可以感到稍微慶幸的是即使得知你有充值行為,你依舊擁有即時銷毀服務(wù)器的能力以此來增加自己的安全系數(shù)。
三、武器
工欲善其事,必先利其器。 --智者奇思妙向? ?擁有了服務(wù)器的你感到信心大增,你開通一臺ubutu的服務(wù)器,并且將x-ray、awvs等配置完成并鏡像了3臺服務(wù)器,以應(yīng)對接下來的打點(diǎn)戰(zhàn)斗。
四、情報
知己知彼百戰(zhàn)百勝。 --智者奇思妙向緊接著你開始了對目標(biāo)信息的搜集
內(nèi)容包括
·目標(biāo)域名
·目標(biāo)域名真實(shí)IP
·目標(biāo)域名真實(shí)IP全端口
·目標(biāo)子域名
·目標(biāo)子域名真實(shí)IP
·目標(biāo)子域名真實(shí)IP的全端口
收集資產(chǎn)的途徑:
1.利用子域名查詢爆破工具(subdomainbrute、sublist3、ksubdomain)
2.利用fofa、zooeye、shodan、谷歌、百度等搜索引擎
以域名后綴搜索,如*.com,加上地理位置等條件 以關(guān)鍵字搜索,給定目標(biāo)中的某些關(guān)鍵字,或titile中包含XX國、XX省,可加上地理位置或不包含某些關(guān)鍵字來提高精確性3.目標(biāo)網(wǎng)站頁面上的直屬單位地址等
4.通過關(guān)鍵字搜索相關(guān)的微信小程序、公眾號
5.通過關(guān)鍵字從應(yīng)用商店搜索相關(guān)的APP
6.github關(guān)鍵字搜索目標(biāo)相關(guān)信息
7.目標(biāo)相關(guān)的第三方供應(yīng)鏈
? ?以上資產(chǎn)收集整理匯總后,會得到多份URL清單,針對此清單,進(jìn)行分批,第一批為目標(biāo)域名及其子域名,第二批為利用關(guān)鍵字搜索得到的資產(chǎn),第三批為微信小程序、公眾號、APP等。
? ?針對以上獲取的內(nèi)容提取真實(shí)IP并判斷是否有CDN,存在CDN的全部忽略,得到一批真實(shí)IP后對IP進(jìn)行全端口掃描并獲取其banner信息,針對相應(yīng)服務(wù),如ssh、mysql等服務(wù)及tomcat等存在后臺的網(wǎng)站進(jìn)行弱口令掃描。
五、進(jìn)攻
斷敵十指,不如傷其一臂。 --智者奇思妙向? ?通過對上面工作的整理,你的運(yùn)氣很好,發(fā)現(xiàn)了N個存在弱口令、shiro反序列化和注入的網(wǎng)站。
對于命令執(zhí)行類漏洞,比如shiro反序列化你是這樣做的:
1.輸入目標(biāo)地址,點(diǎn)擊下一步
2.選擇檢測方法
3.如果發(fā)現(xiàn)目標(biāo)存在漏洞,可在此界面反彈shell或上傳文件
如果上傳指定shell,修改config文件下的shell.jsp文件
例如,你想上傳一個冰蝎的馬只需要把shell.jsp里的內(nèi)容改為冰蝎馬的內(nèi)容
之后選擇寫入位置,即可。
之后利用此漏洞上傳的一個冰蝎馬,獲取到了webshell權(quán)限。
你查看了當(dāng)前用戶的權(quán)限,為管理員權(quán)限
為了更方便的操作,你決定上傳一個CS的木馬,發(fā)現(xiàn)被直接查殺,然后你查看了一下進(jìn)程,發(fā)現(xiàn)服務(wù)器上存在安全防護(hù)軟件。然后你的腦海里回憶出你測試過的幾種方法。
比如利用cs生成veil的payload,之后利用veil使用go編譯來達(dá)到免殺的效果。
#Veil by pass360
一、CS生成shellcode
二、安裝veil
安裝docker:
啟動docker :
run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil生成的所有文件在主機(jī)的/tmp/veil-output/目錄下,
compiled目錄下為exe文件
source目錄下為go文件
三、veil免殺過360
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-SYmkaD3Q-1617346566001)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145510.jpg)]
測試360:
CS上線:
比如遇到火絨可通過msf生成php的馬,之后通過php轉(zhuǎn)exe軟件進(jìn)行msf的上線。
#msf php to exe bypass av
1.生成php木馬
2.去掉開頭的/*
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-0olFx7wR-1617346566003)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145516.jpg)]
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-0MPZIkcs-1617346566003)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145517.jpg)]
3.利用bamcompile進(jìn)行格式轉(zhuǎn)換
若遇到其他殺毒可以試試掩日,也是一款不錯的工具。
#掩日
https://github.com/1y0n/AV_Evasion_Tool
接著你通過上面的免殺上線了目標(biāo)機(jī)器
你利用CS插件對內(nèi)網(wǎng)ms17010進(jìn)行探測
你發(fā)現(xiàn)了幾臺內(nèi)網(wǎng)機(jī)器存在問題,你對存在ms17010漏洞的機(jī)器進(jìn)行了利用,
你獲取到了一臺system權(quán)限的主機(jī)
你翻查主機(jī)發(fā)現(xiàn)了大量的情報,你感覺事情太順利,緊接著你準(zhǔn)備一鼓作氣看看其它的網(wǎng)站。你利用同樣的方法不斷的獲取敵方的情報,接下來你遇到了一點(diǎn)小問題,目標(biāo)不出網(wǎng),然后你可以選擇冰蝎自帶的代理一鍵開啟,可以利用cs,也可以利用Neo-reGeorg,來進(jìn)行正向連接,方法N+1。
一般可以直接用網(wǎng)站的代理,如果覺得不穩(wěn)定,比如網(wǎng)站容易掛掉,可以上傳個CS的馬通過服務(wù)器回連。
本地可以安裝proxychain來進(jìn)行代理。針對內(nèi)網(wǎng)資產(chǎn)探測也可以使用goby,perun等等.
對于存在注入的網(wǎng)站,你使用sqlmap命令
接著嘗試通過注入獲取數(shù)據(jù)庫賬號密碼,并嘗試破解明文,以期進(jìn)入后臺進(jìn)一步擴(kuò)大成果。你對dba權(quán)限的也嘗試–os-shell參數(shù),萬一運(yùn)氣好呢?
你很幸運(yùn)的拿到管理賬號密碼,即使不可以如果得到普通用戶的賬號密碼也可以。
比如你拿到某個用戶賬號密碼登入系統(tǒng)發(fā)現(xiàn)該OA系統(tǒng)集成了郵件功能,你發(fā)現(xiàn)了大量的敏感文件及內(nèi)部人員聯(lián)系方式,這為你進(jìn)一步進(jìn)攻有提供了良好的支持。
對于弱口令,若是ssh服務(wù)器簡直天賜良機(jī),你直接通過代理上去,再代理橫掃內(nèi)網(wǎng)。如果權(quán)限不夠,你可是試試suid提權(quán)
如果你不擔(dān)心服務(wù)器出現(xiàn)問題,還可以嘗試下臟牛提權(quán)。
經(jīng)過艱苦卓絕的戰(zhàn)斗,你已經(jīng)掌握了大量的敵軍情報,你將情報整理加密后傳給了后方據(jù)點(diǎn)。根據(jù)據(jù)點(diǎn)情報的進(jìn)一步反饋,最終你成功的獲得了復(fù)活巨人的秘密。
六、總結(jié)
溫故而知新。 --智者奇思妙向? ?達(dá)成目的你功成身退,并在事后你得知同時嘗試拯救世界的還有其他成員,你們被聚集在了一起,你們獲得了很好的交流機(jī)會。比如有的成員通過供應(yīng)鏈,有的成員提前已經(jīng)打入敵軍內(nèi)部,有的成員通過誘惑敵方人員,總之花樣百出,通過和其他成員的交流,你收獲良多。
你對大致流程做了總結(jié):
1.通過匿名隱藏自己 2.多渠道收集資產(chǎn)信息 3.批量探測漏洞 4.人工驗(yàn)證利用 5.內(nèi)網(wǎng)進(jìn)一步擴(kuò)大戰(zhàn)果 6.事后與其他成員交流思路 7.復(fù)盤總結(jié),查缺補(bǔ)漏進(jìn)一步提高自己七、喚醒巨人的秘密
? ?最后,圣誕世界利用你得到的秘密成功復(fù)活了巨人,巨人拯救了圣誕世界,世界一片歡騰。
圣誕歷,公元2233年,世界面臨戰(zhàn)爭,傳說只有喚醒巨人才可以拯救世界,而喚醒巨人的唯一方式就是:大古熬成湯。 --摘自《智者奇思妙向回憶錄》總結(jié)
- 上一篇: 月饼计划之XSS
- 下一篇: cmos全局曝光算法_2019腾讯广告算