Hey, KEEP CALM and hack away…
Hack away…
目录 历史命令 目标 能学到什么? 什么是 LFI(Local File Inclusion)? LFI 的原理 如何利用 LFI 漏洞? ShellShock Elastix FreePBX 远程代码执行漏洞 如何利用目标机器的漏洞? References 历史命令 masscan nmap searchsploit nc Burp Suite python sudo -l sudo nmap –interactive -> !sh 目标 目标 Beep 在 10.10.10.7。 能学到什么? 什么是 LFI(Local File Inclusion)? LFI (Local File Inclusion)是代码中的一种漏洞表现形式。不是语言本身的问题,而是程序员在开发的过程中,对于语言的特性理解不够,给攻击者留下了可趁之机。 可以说是“臭名昭著”的两个 PHP 方法,include 和 require,使用不当的情况下,就会造成 LFI 的存在。…
Table of Contents Command History Set Up Recon Nmap Smbclient Gpp-decrypt Foothold GetUserSPNs.py JohnTheRipper Psexec.py Final Words What is Kerberos? How Does It Work? Mitigations References Command History Nmap – found ports open, pretty much confirmed that this is a AD DC – effective – valuable smbclient – found share folders – effective – valuable…
Table of Contents Command History Set Up Recon Masscan Nmap Check out the Website Gobuster The Login Page Burp Suite SQL Injection Probe Sqlmap Side Notes: How Sqlmap Works Foothold MySQL Database WinPEAs Sqlmap Dump All Info Powershell Code Execution PHP File Solution Final Thoughts References Command History masscan – found several service ports -…
Table of Contents Command History Set Up Recon Masscan Check Out Website Gobuster Manual Explore Foothold Manual Enumeration MySQL Linenum LinPEAs Go Back and Review SSH Brute Force JohnTheRipper Final Thoughts References Command History masscan – found open port 22, 80 – effective nmap – scan for services – effective gobuster – found three hidden…
Table of Contents Command History Set Up Recon Masscan Nmap Rpcclient Smbclient Enum4linux Nmap Read More Ldapsearch Sambe on 139,445 Rpc DNS on 53 Kerberos on 88 Evil-winrm Foothold Privilege Escalation Manual Enumeration PowerView.ps1 Go Back to Check the Command List Crack the LDAP Encoded Thing Evil-winrm Some Assessment Final Thoughts References Command History Reference…
Set up 目标机器在 10.10.10.169 Recon Nmap # Nmap 7.80 scan initiated Wed Apr 29 23:11:13 2020 as: nmap -A -T4 -p- -v -oN nmap.txt 10.10.10.169 Increasing send delay for 10.10.10.169 from 0 to 5 due to 60 out of 149 dropped probes since last increase. Increasing send delay for 10.10.10.169 from 5 to 10 due…
Set up 目标机器在 10.10.10.168. Recon Nmap # Nmap 7.80 scan initiated Tue Apr 28 03:28:16 2020 as: nmap -A -T4 -p- -v -oN nmap.txt 10.10.10.168 adjust_timeouts2: packet supposedly had rtt of -935420 microseconds. Ignoring time. adjust_timeouts2: packet supposedly had rtt of -935420 microseconds. Ignoring time. adjust_timeouts2: packet supposedly had rtt of -1170053 microseconds. Ignoring time….
Recon Nmap 目标开放了 22 和 80 端口。 查看一下网页。 有个 login 页面。 我先尝试了一下 sql injection,但是没有成功,无法登录。 截取了请求,也没有什么特别的。 Dirbuster 很快找到了换个 /login 目录是可以访问的。 重点是 config.php 和 .swp 两个文件。但是 config.php 没有什么内容,看一下 .swp 。 我尝试 vi -r login.php.sqp,但是无法恢复。 扩展阅读 VIM Recovery Mode 直接 vi 打开之后,是个乱码。 但是下面有字符串,那就用 strings 看一下。 这里看到了比较用户名密码的登录逻辑。 那么问题肯定在这里,只是我还不知道。 搜索一下 php strcmp exploit 很多 bypass,那这个肯定就是有漏洞可以利用了。 扩展阅读 PHP String Comparison Vulnerability…
Recon Nmap 目标机器只开放了 22 端口。 之前的用户,daniel 和他的 private key 还是可以用来登录 10.10.10.50 代号 Guard 的机器。 进去之后发现 find, cd ,cat 这些都用不了,会显示 rbash: cd: restricted 这样的错误。 搜索一下 rbash,会发现 Linux 有一个限制环境 (restricted shell) 扩展阅读 GNU Restricted Shell Restricted Shell Explained 搜索 how to exit restricted shell 这篇文章 就有解除限制的方法。 用 less 是可以的 I’m in… 之后的内容不写了,不太切实际。主要学习一下 restricted shell。
Markup Video Walkthrough 😄 Recon Nmap nmap 还在跑的时候,我就去这个 ip 看下有没有 web 服务。这是主页。 然后记得上一个 Included 结束的时候,在 login.sql 里有一个登陆信息(移步 这里查看),我试了一下果然登陆成功。 首页。 有个 cookie。 源码没有什么信息。 contact 页面假的,按钮点了没有任何反应。 order 页面,随便填了一些信息,点击提交显示已处理 我看到订单页面的源码里是提交到 process.php 我在地址栏直接访问,并添加了 null byte 在后面,防止 php 被执行,但是报错了。 加上两个 0 报错还不一样。 目标机器运行的技术栈全部暴漏了 – Apache/2.4.41 (Win64) OpenSSL/1.1.1c PHP/7.2.28。 20 分钟过去了,我的 nmap 还没结束。 那就根据这个信息搜索一下漏洞好了。 Enumeration 搜索一下 apache 2.4.41 exploits 排前几位的文章都看了一下,没有发下有用信息。 openssl…