用户
搜索
  • TA的每日心情
    慵懒
    7 天前
  • 签到天数: 81 天

    连续签到: 1 天

    [LV.6]常住居民II

    版主

    bilibili:末心a

    Rank: 7Rank: 7Rank: 7

    102

    主题

    318

    帖子

    3040

    魔法币
    收听
    0
    粉丝
    10
    注册时间
    2018-8-22

    楚春秋达人积极活跃奖限定版春秋段子手推广达人春秋文阁

    M0x1n 版主 bilibili:末心a 楚 春秋达人 积极活跃奖 限定版春秋段子手 推广达人 春秋文阁 楼主
    发表于 2021-9-28 17:08:57 03413
    前些日子在学校里和一个运维的团队进行了一场比赛,我们的操作环境选择到了我们学校的一间闲置的教室。
    (环境因为权限问题不能对外开放,抱歉
    下面我来还原一下当时对抗竞赛的场景。我们班级里有几个和我关系比较好的铁子我们经常在一起做渗透测试和CTF竞赛,偶然间听到这一届和上一届的运维班的学生说我们这里的坏话。所以经过校方批准、盖章、同意后取得了这次红蓝对抗的机会。(文明人)
    在那一间教室里,有着两个不同运营商的光猫。光猫一外接的光线是中国移动,光猫二外接的是中国电信的。
    事情回放到对抗的前一天晚上:
    凌晨两点多,我带着我的上铺(小皮)穿着黑色的衣服跑到了那间废弃的教室。我拿着树莓派配合一个手机(当做显示器)探测了两个光猫(后台管理员密码都是默认密码,超管密码均为运营商默认密码)。
    信息收集得出的信息有下(下面信息后面会用到一些):
      1.电信路由器是公网IP
      2.移动路由器是通过交换机分配的内网IP(这一点也就暂且保证了网络终端的安全)
      3.电信IP重启会变换(动态分配),每30天更换一次。
    那么我们记录下来了电信的IP,并且通过设置端口映射将重要的端口如21,22,3306,3389等端口映射了出去。(80端口映射到了8111)
    01.jpg
    第二天,我们都如约的来到了赛场。相对应的打开了电脑,拿出了他们的一个网站系统。(网站系统是我们所检查过的,基本上是没有什么过滤。)
    (为免版权争议,这里只放出来过程)
    由于拿的是我们校方老师之前讲课让他们做的一个系统,所以只有简单的HTML实体编码防护,这对于我们来说是一个号很好的事情。
    比赛的时候,他们选择了电信的路由,那么我们只好使用移动的了。我们使用移动,对于后期的后渗透可能有点困难,但是似乎没有什么影响。
    他们并不知道自己的网络有公网,所以使用了花生壳作为内网穿透工具。
    给了我们一个花生壳解析过的域名,这样一来就很方便了。
    我们拿着网站,先来了一波检查。在文章列表对文章进行了SQL语句检查,让我没想到的是,他们竟然在这里修改了防护。
    因为我们手上也有这套系统的源码,所以我们就看着后端的页面对其网站的评论功能来了一波xss,可惜,他们没有在这里添加防护。
    他们看评论的时候,我成功获取到了网站的后台cookie。随后我们使用cookie登录后台,发现后台里有一个文件上传功能。因此在本地源码里面查看,发现这个文件上传并没有检测文件类型。但是它会修改文件的名称,文件名称修改了方式为:取文件名md5的值。
    根据这个方式,我们上传了一个php木马。名称是shell.php,那么文件名就是25a452927110e39a345a2511c57647f2.php。
    文件路径,观察后发现是存放到了upload。
    我们访问该路径,发现可以正常执行我们的php大马。并且我们在大马中创造了一个不死马。
    不出所料,不过一分钟的时间我们的php大马就被删除掉了。但是不死马作祟,我们的渗透步骤还在继续。
    因为这个网站已经是我们意义上的内网了,那么我们通过这台机子就可以搞掉他们的电脑了。
    通过一个Impost3r,我们成功的获取到了服务器的密码,我们已经连上了ssh
    第一波收获:
    通过nmap探测了整个内网(0/24),获取到了有两台电脑是Windows7的系统。剩下两台是Windows10的系统。
    我们给服务器安装了一个metasploit,利用他作为一个攻击机吧。我们成功使用cve-2019-0708拿了一台Windows7,另一台Windows7则直接蓝屏。
    第二波收获:
    通过Windows7的cmd配合,用vbs脚本写了一个下载者木马,从web服务器上下载了我们的cs木马。并且通过cs成功的完成了远程控制后渗透。
    小学弟通过了ms17-010成功拿下了另一台Windows7,通过同样的方式交给我完成了后渗透。
    第三波收获:
    那两台Windows10由于是比较新,我们使用去年公布出来的cve-2020-0796,拿下了这这两台Windows10。通过powershell成功的植马,提权。
    有一台机子拥有3389端口并且支持远程连接,通过ipconfig拿到了内网的IP后,在路由端口映射给映射了出去。通过远程桌面我们拿下了他们电脑的绝大多数权限。
    收尾
    通过这次的轻身经历,让我明白了细节的重要性。

    微信公众号:末心网安 | Q群374327762 | 淘宝店铺:末心网络|TinSec(听安)
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册