老外的一份渗透测试报告
From:penetration-testing-sample-report-2013.pdf
offensive security出的一份渗透测试报告,翻译了下重点内容 :)
过程还是很精彩的~
本次测试的域名为:megacorpone.com
先查看一下其DNS服务器:
然后发现 ns2.megacorpone.com 存在域传送漏洞。
关于域传送的漏洞,可以参考这里http://drops.wooyun.org/papers/64
从图片中可以看出域名都在50.7.67.x的IP段内,网络拓扑图:
在admin.megacorpone.com服务器的81端口发现了apache的webserver,然后扫一下文件路径:
可以看到/admin是一个需要身份验证的路径。
根据www.megacorpone.com网站内容做了一个字典,爆破密码,用户名就用admin了。
破解出密码为:nanotechnology1
进入后界面:
可以看到是一套phpSQLiteCMS,管理SQLite数据的:
通过此页面可以直接查询用户名和密码的hash:
测试发现保存的hash并非常规的方式,于是下载一份phpselitecms观察其中的hash方式:
知道了hash的方式是使用使用了一个10位字符的salt一起做sha1,并且字符串拼接原始salt一起放在数据库中。
我们采用同样的hash方式来暴力碰撞密码,尝试破解其他账户,又破解出两个来,收集密码的好处是可能其他系统也会使用相同的用户名密码,这样就可以轻松的进入了。
SQLite Manager软件存在一个已公开的代码注入漏洞,可以使用exp直接打:
http://www.exploit-db.com/exploits/24320/
反弹回shell:
服务器拓扑:
同时发现服务器可以提权,利用exp提权:
http://www.exploit-db.com/exploits/18411/
此时已经完全控制此台服务器。
然后好好的分析了一下此台服务器,查看到web目录下java应用只允许一个网段来访问。
后来发现这个管理员网络之一:
我们在web客户端增加了一个Java小程序,可以直接控制远程客户端。
(PS:出了这么多Java 0day不知道直接挂到页面上,老外的中马率怎么样)
在管理员下载并允许后:
此时网络拓扑:
发现管理员的电脑在域中,开始提升到域管理员。
发现系统中有一个组管理文件。
(ps:关于这个专门去查了一下是2008域管理存在的一个问题:http://www.carnal0wnage.com/papers/LARES-GPP.pdf)
metasploit上有rb脚本可以查找xml文件并解密:https://github.com/rapid7/metasploit-framework/blob/master/modules/post/windows/gather/credentials/gpp.rb
查看groups.xml文件:
解密:
解密的ruby脚本贴出来:
使用方法是:
#ruby decrypt.rb 密文
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
require 'rubygems'
require 'openssl'
require 'base64'
#encrypted_data = "AzVJmXh/J9KrU5n0czX1uBPLSUjzFE8j7dOltPD8tLk"
encrypted_data = ARGV
def decrypt(encrypted_data)
padding = "=" * ( 4 - (encrypted_data.length % 4 ))
epassword = "#{encrypted_data}#{padding}"
decoded = Base64.decode64(epassword)
key = "\x4e\x99\x06\xe8\xfc\xb6\x6c\xc9\xfa\xf4\x93\x10\x62\x0f\xfe\xe8\xf4\x96\xe8\x06\xcc\x05\x79\x90\x20\x9b\x09\xa4\x33\xb6\x6c\x1b"
aes = OpenSSL::Cipher::Cipher. new ( "AES-256-CBC" )
aes.decrypt
aes.key = key
plaintext = aes.update(decoded)
plaintext << aes.final
pass = plaintext.unpack( 'v*' ).pack( 'C*' ) # UNICODE conversion
return pass
end
blah = decrypt(encrypted_data)
puts blah
|
尝试用plink端口转发,把内网的远程桌面连接转发出来,但是被阻断了:
测试后发现可以通过HTTP-Tunnel转发出来:
http://http-tunnel.sourceforge.net/
登陆的用户名密码采用的是SQLite Manager应用中的mike用户。
此时网络拓扑图:
打开IE的默认主页发现了Citrix服务器,用跟远程连接相同的用户名和密码进入:
Citrix环境当中,做了沙盒,只能使用IE,但是可以绕过。
使用IE的保存,弹出的对话框,新建一个powershell的bat批处理:
利用powershell下载metasploit的反弹程序
下载完毕后,在保存对话框中已管理员的权限运行
这样就获得了Citrix系统的权限
此时网络拓扑:
在Citrix上,尝试从内存中获取用户名密码:
这里包含了很多的用户名和密码,其中还包括一个windows域管理员的。
给Citrix服务器创建了一个远程连接服务并使用域管理员登陆:
至此已经完全控制了windows域。
老外的一份渗透测试报告相关推荐
- 如何写好一份渗透测试报告
转载: 如何写好一份渗透测试报告? http://bbs.51testing.com/forum.php?mod=viewthread&tid=1175573&fromuid=1525 ...
- 一份标准的渗透测试报告是什么样的?(附报告模板)
一个完整的渗透测试工作流程中,实际有近一半时间都用在如何编写报告上,渗透测试工程师的工作,不仅需要具备高超的渗透测试水平,同样也需要把一个深奥的技术点解释的通俗易懂,即使是完全不懂安全的人也可以理解. ...
- Savior:渗透测试报告自动生成工具
系统框架 前端:Ant Design Pro 后端:Django REST Framework 数据库:Mysql 主要功能 用户管理:主要是方便统计漏洞的发现者,后续可能大概也许会添加漏洞统计模块, ...
- 渗透测试报告标准编写
渗透测试报告封面样本 渗透测试报告甲乙概述 渗透测试报告标准流程 要素: 工具: 主体: 总结: 安全攻城狮的大救星 | Savio-渗透测试报告自动生成工具 - SecPulse.COM | 安 ...
- 渗透测试报告甲乙概述
渗透测试报告封面样本 作用: 问题: 重要性: 渗透测试报告标准流程 渗透测试报告封面样本 渗透测试报告甲乙概述 素材均来源于网络,侵删
- 渗透测试报告封面样本
封面: 摘要: 正文: 渗透测试报告标准流程 渗透测试报告甲乙概述 渗透测试报告甲乙概述 素材均来源于网络,侵删
- done (330 lines in 0.02 seconds). 私人笔记,一份WEB测试报告
私人笔记,一份WEB测试报告 Parsing... done (330 lines in 0.02 seconds). Checking anchors... done. Checking lin ...
- Android 渗透测试学习手册 第九章 编写渗透测试报告
第九章 编写渗透测试报告 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 在本章中,我们将学习渗透测试的最终和最重要的方面,撰写报告. 这是一个简短的章节,指导你在报 ...
- 安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
1.HTTP响应标头 响应头的一般设置参考:提高安全性而在HTTP响应头中可以使用的各种响应头字段 * 点击劫持:X-Frame-Options未配置 点击劫持(ClickJacking)是一种视觉上 ...
- 强荐 | 渗透测试报告自动生成工具
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 背景 在安服仔的日子里,发现其他人输出的渗透测试报告结果不规范,主要在报告质量.内容.字体.及修复方案中存在诸多问题,而且大部分安服仔需要对 ...
最新文章
- Android Studio查找或设置函数注释的快捷键
- mysql relaylog 慢_MySQL 主从同步延迟的原因及解决办法
- Java面试题 简述jvm内存模型?
- 论文浅尝 - ECIR2021 | 两种实体对齐方法的严格评估
- 病毒(信息学奥赛一本通-T1396)
- 关于java.util.Properties读取中文乱码的正确解决方案(不要再用native2ascii.exe了)...
- 剑指offer(C++)-JZ23:链表中环的入口结点(数据结构-链表)
- npm ERR! code ERR_STREAM_WRITE_AFTER_END npm install 报错实力踩坑npm,自从用了npm之后项目构建和插件管理确实方便了很多,但也是被坑的不要不要的
- html超链接图标图片,HTML-标签:图片 超链接
- 如何用html放音乐播放器,如何用html+js实现音乐歌词同步播放器
- 2018 年 8 月面试路:6 天 21 家公司
- thing.js入门学习
- 番薯网让我很不爽的几处设计
- 软件工程网络15结对编程作业一(201521123019 罗登宇)
- LeCo-169. 多数元素
- 分布式理论(五)—— 一致性算法 Paxos
- 论文导读:TOWARDS END-TO-END SPOKEN LANGUAGE UNDERSTANDING
- 新南威尔士大学纯硅量子计算机,新南威尔士大学工程科学硕士-电气工程小方向课程解析...
- LincSNP:lncRNA相关SNP位点数据库
- 字符串中的转义字符(史上最详版)