目錄

環(huán)境搭建
攻擊場景
    尋找外部入口突破
    內(nèi)網(wǎng)滲透代理隧道
    內(nèi)部橫向滲透攻擊
總結(jié)   

環(huán)境搭建

參照《Metasploit滲透測試魔鬼訓(xùn)練營》第二章進行環(huán)境搭建似谁。搭建后測試環(huán)境為：
  kali:  10.10.10.128
  owasp ubuntu: 10.10.10.129
  win2k3: 10.10.10.130
  metasploit ubuntu: 10.10.10.254/192.168.10.254
  xp: 192.168.10.128
  win7: 192.168.10.129
  說明：
        1. 添加win7主機傲绣，配置靜態(tài)ip為192.168.10.129
        2. 默認搭建好環(huán)境后各個主機是可互相通信，需要在網(wǎng)關(guān)服務(wù)器配置防火墻策略使DMZ區(qū)兩臺服務(wù)器無法與兩臺內(nèi)網(wǎng)主機進行通信,命令如下：
        iptables -I INPUT -s 10.10.10.1/24 -d 192.168.10.1/24 -j DROP
        3. 假設(shè)此網(wǎng)絡(luò)拓撲中只有web服務(wù)器對外開放巩踏，其他四臺內(nèi)網(wǎng)主機外部都不可訪問
        4. owasp網(wǎng)頁稍作修改秃诵，可忽略

Mesploit滲透環(huán)境示意圖.jpg

攻擊場景

尋找入口突破

滲透測試的第一步是進行信息收集，對域名塞琼，ip信息菠净，whois查詢，端口服務(wù)彪杉，web程序毅往，中間件，操作系統(tǒng)等信息進行收集整理派近，對dvssc進行簡單的信息收集：
      域名 www.dvssc.com 
      ip:10.10.10.129
      操作系統(tǒng):  Linux 2.6.17 - 2.6.36

獲取webshell

 通過查看頁面可以發(fā)現(xiàn)后臺登錄入口攀唯，(在正常滲透測試環(huán)境中，可能是通過爬蟲渴丸，目錄字典爆破侯嘀，google hack， 查找編輯器等方式找到后臺)通過burpsuit抓包谱轨，在后臺找到上傳點戒幔，通過爆破得到后臺賬號密碼：admin admin 
 上傳大馬連接：

大馬.jpg

獲取web服務(wù)器權(quán)限

此時我們已經(jīng)獲取得到webshell，根據(jù)操作系統(tǒng)版本可以使用臟牛提權(quán)得到web服務(wù)器權(quán)限碟嘴。
上傳reverse_shell.pl到服務(wù)器：

上傳reverse_shell_pl.jpg

執(zhí)行perl腳本.jpg

成功反彈shell.jpg

獲取交互式shell

反彈得到的shell是一個terminal溪食，而不是一個交互式shell，執(zhí)行python -c 'import pty;pty.spawn("/bin/sh")'娜扇，得到交互式shell

交互式shell.jpg

獲取服務(wù)器權(quán)限

上傳dirty.c到/tmp目錄下错沃，執(zhí)行dirty.c進行臟牛提權(quán)：

臟牛提權(quán).jpg

臟牛提權(quán)成功.jpg

內(nèi)網(wǎng)滲透代理隧道

得到服務(wù)器權(quán)限，繼續(xù)滲透內(nèi)網(wǎng)雀瓢，建立web隧道對內(nèi)網(wǎng)進行探測枢析，使用tunnel_nosocket.php+proxychains：

web隧道.jpg

web隧道建立成功.jpg

通過web代理隧道nmap掃描發(fā)現(xiàn)10.10.10.130主機和10.10.10.254:

nampC段掃描結(jié)果.png

使用ms08067攻擊10.10.10.130服務(wù)器

ms08067攻擊成功.png

hashdump獲取hash.png

破解hash得到密碼.png

遠程連接130服務(wù)器.png

hydra爆破254服務(wù)器密碼

hydra爆破密碼.png

爆破成功.png

收集內(nèi)網(wǎng)信息

last查看登錄信息，可以看出有192.168.10網(wǎng)段存在

last查看登錄信息.png

還可以通過uname -a , /etc/issue, 網(wǎng)絡(luò)配置信息刃麸，ifconfig, 歷史命令等來收集信息

收集內(nèi)網(wǎng)信息.png

通過網(wǎng)關(guān)服務(wù)器搭建代理進入192.168.10網(wǎng)段

我們現(xiàn)在使用的80隧道可以訪問10段的DMZ區(qū)醒叁，但是由于防火墻策略無法通過socket直接訪問192網(wǎng)段，但是我們已經(jīng)得到網(wǎng)關(guān)的用戶名密碼，嘗試通過254網(wǎng)關(guān)代理得到

兩層代理進入192網(wǎng)段.png

kali的3333端口與10.10.10.254主機建立隧道把沼，現(xiàn)在kali可以直接連接本機3333端口連接到254主機

連接kali的3333端口.png

掃描192網(wǎng)段內(nèi)網(wǎng)主機

ms17010永恒之藍攻擊win7主機

上傳遠控服務(wù)端并執(zhí)行啊易，等待上線

攻擊內(nèi)內(nèi)網(wǎng)xp主機

上傳遠控并執(zhí)行，等待上線

總結(jié)