第一次的pentest show总结

第一次的pentest show总结

前言

开始之前,我特别感谢TryHackMe(英)、HackTheBox(美)、zero-point security(英)、offsec(美)等平台,使我们能够通过网络以线上的方式学习与练习,打破传统线下各地区教育资源差异大的限制,对网络教育资源方面做出全球性的巨大贡献。

事实上我这次连续参加了两场攻防演练。第一场攻防演练也是本人第一次攻防演练,将thm、htb等的知识交付于现实,由于参加的第一场某市的攻防演练没有任何经验,我独自一人也打的非常困难,并没有取得大成果反而还吃了不少亏。

但虽第一次演练没有好成果,但这五天的坐牢,让我对国内的常见环境、攻防演练如何进行等,有了很新的认识。

总结

最简单而具有代表性的总结:之前所学的知识为我带来了大量帮助,坚持不懈,重新分析所有信息、战至攻防最后一刻是我这次做的最正确的事情。

第二场某市的攻防演练,也就是我们本文的重点,有了第一次攻防演练的教训和哑巴亏、以及经验,第二场攻防在与队友的配合之下,取得很多成果,在众多企业队伍的高排名中,我们夺得了属于我学校队伍的一席之地。

以下所有内容均以技术角度进行分享,不涉及任何保密协议相关的内容,所有截图也已脱敏,确保不泄露任何不利信息,仅在技术角度做技术知识、经验共享。

第二场攻防我们的总分约1.44w,被打穿内网的单靶标 得分为5200左右。

首先就是外网方面,在这两场攻防里面用的最多的信息收集工具恐怕就是鹰图了,它的名字也和我很配,它给出来的资产信息也算是相当清晰和准确了,主要还是可以通过企业名字进行过滤和准确搜索,相当不错,正如它的名字一样

我们来看一下我们的一部分成果类型:

1.在两场攻防中,都有同样的且数量占比比较高的、且简单粗暴能获取web网站权限的方式:弱口令,我的队友弱口令战神凭借弱口令为我们取得不错的优势,进入后台我能够获取更多有价值的信息以及进行漏洞挖掘以进行危害提升。

2.除了弱口令外,还有不少Springboot的heapdump信息泄露,导致泄露某些web服务、数据库凭据,虽然大部分都是泄露的内网服务,但仍有一小部分泄露了外网的服务凭据。

3.扫描结果出现频率较多的 且100%存在漏洞的web框架就是nacos,只要碰到nacos,该说不说一百分的权限分是稳了,但也有一小部分的nacos是有料的,nacos后台有一些数据库、存储桶的连接凭据,我们在这次攻防中也获得了不少阿里云、七牛云、腾讯云存储桶控制权

另一个则是shiro,本场攻防打的第一个某某特别敏感的内网就是通过shiro的key爆破打进去的

(由于该内网涉及非常敏感,相关成果便不再叙述。)

4.数据库。虽然我们在外网获得的许多数据库不是空的就是权限低有限制,但仍有小部分可以利用其来获得敏感数据,以及相关的账号密码策略等有价值的信息,更有甚者可以通过udf、xp_cmdshell来getshell获得服务器系统控制权限。

5.OSS存储桶,其实我也是第一次认识存储桶这种东西,打之前我甚至都没有这种概念,但是我们只需要知道,存储桶大概率会包含大量无价值图片,但就我本次攻防所遇到的所有存储桶中,依然也有小部分存储桶存储着一些信息文件、甚至是身份证等敏感信息,这个时候,想要确定一个存储桶有没有我们想得到的东西,那就得看你翻找得够不够仔细和认真了,这是一个究极耗费时间的过程

被打穿的内网(故事)(纯享版)(爽文)

首先还是外网入口方面,某天晚上11点 12点的时候,我的弱口令战神队友在企业X的资产的web系统上找到了两个弱口令,我登录其中一个系统后台,进行信息收集与分析、漏洞挖掘时,我发现了一处RCE,并且通过C#常规reverse shellcode获得目标服务器系统控制权。

在这里插入图片描述

没有域

权限比较高,经过多次免杀尝试,最终我们直接通过WinDefender开启白名单更方便,这样省的所有工具都需要免杀,并且搭建了socks5隧道

我转储了lsass内存、转储sam,获得了admin的ntlm hash

然后发现端口开着5985,我直接用evil-winrm连了上去

在这里插入图片描述

然后找好兄弟帮我cmd5解开hash

在这里插入图片描述

根据这个密码,我发现了大概的密码策略,类似于:password123

于是使用crunch生成了000-999的字典,对内网进行爆破,然鹅没有任何成果。

我在administrator的桌面中,发现了一个类似配置文件的东西,里面保存着内网其它服务器的数据库的密码,我通过这个密码再次对内网进行密码喷洒

获得两个内网linux服务器的ssh root控制权(不要认为这是离谱的,更离谱的还在后面)

在这里插入图片描述

我在我手上控制的三台机器上反复进行各种信息收集,很漫长、很煎熬。

最终还是在linux服务器上发现了一条加密密码被存放在root家目录下,
继续让好兄弟帮我去cmd5解密,得到的结果类似于:password123

没错,这个密码类似于我们刚刚windows服务器的administrator的密码,只是数字部分不同

然后我再次对内网进行密码喷洒,发现一个mssql数据库的sa账户被匹配

在这里插入图片描述

但我000-999居然没有喷洒出来,其实我也早已知道什么原因了,因为目标开启了登录失败次数限制,这一点属于我的疏忽,也属于opsec问题

随后我登录数据库看了一下,成功找到约100万敏感数据

之后我尝试通过xp_cmdshell尝试getshell,发现卡住,我的队友弱口令战神也无法成功getshell

(我以为目标开了什么保护,直到比赛的最后一天,想知道结果请继续看下去)

就这样,我们的内网就在这里卡住了,再也没有了进展。

被卡住的这些天,我反反复复对已经获得的所有信息、所有服务器和数据库进行反反复复的重新分析,结果确实令人失望的,依然还是没有任何新的发现。

就在距离攻防结束的几个小时前,我们刚吃饱午饭,我们都觉得我们的分数10000分没办法再继续突破了,我们都尽力了,枯竭了,我的队友也还在做最后的挣扎,找了几个弱口令,但这距离我们希望的排名靠前还差些距离

我跟我的队友一样,也没有彻底摆烂,即使到了最后一刻,攻防即将结束,我也依然在翻看所有信息,所有已有的攻击路径,进行分析尝试发现新的攻击路径

我把前些天打失败了的mssql的xp_cmdshell不抱希望得又试了一遍

耶稣,它最终还是站在了我这边

居然离奇的成功了,我也不知道为什么那天没有成功,但现在它成功了,我们就此获得那台mssql服务器的低权限shell

这个shell真的很多命令都执行不了,目标也不出网,连接不到我们的vps,smb、http,以及living off the land,都没成功把提权payload下载到目标机器上

在面临攻防即将结束的压力下,我最终还是想到了一种简单的方法:通过我们在内网已经控制的其它windows服务器的UNC Path即smb来传输payload

我们恰好有一台windows服务器的完全控制权,直接在低权限的shell里面:

net use \\win-xxxxxxxxx\C$\ /user:administrator password123

结果成功了(没有截图,这一段没录上,msf免杀shell弹队友机器上后才开始录的)

后面的提权不用我说都知道了,毕竟是从mssql服务进来的,就不用作解释了

用的是PrintNotify Patato

https://github.com/BeichenDream/PrintNotifyPotato

直接通过unc path执行exe,无需下载到本地保存

在这里插入图片描述

最后我们成功拿到了system shell,并且在administrator的桌面中发现了一个bat

而这个bat也决定了我们的坚持不懈没有白费

在这里插入图片描述

我们发现了与之前密码策略类似的密码:password123abc

然后又做了密码喷洒,而这次的密码喷洒,没有让我们所有人失望,我激动的喊了出来

在这里插入图片描述

这次的喷洒结果,新增拿到了九台windows服务器的administrator

后续在这些服务器上进行本地信息收集,发现了内网其它不重复的近十台服务器数据库凭据即数据库控制权限,在数据库中发现了近百万敏感数据。

后面就是写报告时间了。

结束

这属于我第一次参加攻防演练且完赛,经历已经拉满了,我们都尽力了,虽然无法与那些知名企业队伍抗衡拿到第一或是前三,但是我此刻的成就感依然是拉满了,经历拉满了,体验感拉满了

就像开头说的那样,如果我不坚持硬怼这个看起来没有任何希望的内网,如果我不一直盯死这个看起来没任何希望的内网,或许我们就真的也就只能那样了

但我没有,前段时间学习的情报分析心理学,或许派上了用场,或许是这些过去的所有知识在默默的支持我的工作。

鹰眼、鹰爪、翅膀

不要轻易放弃,就像这样。

我要金鸟蛋,我们是罐菌,我音乐播放器

让我们继续保持学习

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/775573.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

探索Sui的面向对象模型和Move编程语言

Sui区块链作为一种新兴的一层协议(L1),采用先进技术来解决常见的一层协议权衡问题。Cointelegraph Research详细剖析了这一区块链新秀。 Sui使用Move编程语言,该语言专注于资产表示和访问控制。本文探讨了Sui的对象中心数据存储模…

Python从0到100(三十七):数据提取的概念和数据分类

1. 爬虫中数据的分类 在爬虫开发过程中,我们会遇到多种类型的数据。了解这些数据的类型对于有效地提取和解析信息至关重要。 结构化数据 结构化数据是指具有固定格式和模式的数据,常见的结构化数据格式包括JSON和XML。 处理方式:可以直接转换为Python的字典或列表等数据类…

【UML用户指南】-27-对体系结构建模-制品

目录 1、组成结构 2、制品的种类 2.1、部署制品 (deployment artifact) 2.2、工作产品制品 (work product artifact) 2.3、执行制品 (execution artifact) 3、标准元素 4、常用建模技术 4.1、对可执…

Redis 7.x 系列【17】四种持久化策略

有道无术,术尚可求,有术无道,止于术。 本系列Redis 版本 7.2.5 源码地址:https://gitee.com/pearl-organization/study-redis-demo 文章目录 1. 概述2. 案例演示2.1 无持久化2.2 RDB2.3 AOF2.4 混合模式2.4.1 方式一:…

LLM - 神经网络的组成

1. 一个神经元的结构:即接受多个输入X向量,在一个权重向量W和一个偏执标量b的作用下,经过激活函数后,产生一个输出。 2. 一层神经网络的结构:该层网络里的每个神经元并行计算,得到各自的输出;计算方式是输入…

CISAW证书考完有什么用?值得投资吗?

CISAW证书,在信息安全领域内被公认为具有高价值的一种职业资格认证,它象征着持有者在该领域的专业技能和知识水平。 因此,CISAW证书不仅具有实质性的价值,还能为持有者带来诸多益处。 首先,拥有CISAW证书的专业人士更…

简过网:教师编制报考要求和条件,都给你汇总好了!

如果你想要考教师编,那么在考试之前你先要明白这些知识! ​ 一、什么是教师编? 在编教师拥有的编制为事业编,即在编老师为事业单位工作人员 二、考教师编需要什么条件? 1、普通话 语文学科普通话要求达到二级甲等及…

5.基于SpringBoot的SSMP整合案例-数据层开发

目录 1.新建项目 2.实体类开发: 2.1在pom.xml中增加Lombok坐标: 2.2添加Book实体类 3.数据层开发: 3.1 配置MyBatisPlus与Druid 3.2创建数据层接口 3.3写测试类 3.4点击运行: 4.数据层快速开发: 4.1配置MyB…

Camera link(学习笔记)

Camera Link协议是一种专门针对机器视觉应用领域的串行通信协议,它使用低压差分信号(LVDS)进行数据的传输和通信。Camera Link标准是在ChannelLink标准的基础上多加了6对差分信号线,其中4对用于并行传输相机控制信号,另外2对用于相机和图像采…

植物学(书籍学习资料)

包含观赏植物学、植物学、植物学百科图鉴等多本植物学方面的书籍学习资料。 图2、3为观赏植物学截图; 图4、5为植物学百科图鉴截图; 图6、7为植物学学习指南截图。

YOLO V7项目使用

YOLO V7项目使用 根据官方论文中提供的项目地址:使用git clone将项目下载到本地。 https://github.com/WongKinYiu/yolov7 git clone https://github.com/WongKinYiu/yolov7 使用pycharm打开项目,根据官方提供的requirement.txt文件下载项目启动所需要的…

ERROR | Web server failed to start. Port 8080 was already in use.

错误提示: *************************** APPLICATION FAILED TO START ***************************Description:Web server failed to start. Port 8080 was already in use.Action:Identify and stop the process thats listening on port 8080 or configure thi…

ubuntu下后台启动程序

1.启动 nohup python detect_mq.py > output.out 2>&1 & 这个命令是用来在后台运行一个 Python 脚本 detect_mq.py,并将脚本的输出重定向到文件 output.out。下面是这个命令的详细解释: nohup:这是一个命令,它告诉…

【东奥会计-注册安全分析报告】

前言 由于网站注册入口容易被黑客攻击,存在如下安全问题: 暴力破解密码,造成用户信息泄露短信盗刷的安全问题,影响业务及导致用户投诉带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞…

有哪些有效的策略可以提升独立站的外链数量?

有哪些有效的策略可以提升独立站的外链数量?提升独立站的外链数量并不难,难得是不被谷歌惩罚把你的网站判定为作弊,正因如此,了解并应用GNB自然外链策略是个不错的开始,GNB外链的核心价值在于它提高了网站外链资源的自…

2024亚太赛(中文)数学建模B题Python代码+结果表数据教学

B题题目:洪水灾害的数据分析与预测 完整论文也写完了 第二问代码(1、3、4问、还有论文见文末) import pandas as pd from sklearn.cluster import KMeans import matplotlib.pyplot as plt import seaborn as sns from matplotlib import rc…

2024年软件测试岗必问的100+个面试题【含答案】

一、基础理论 1、开场介绍 介绍要领:个人基本信息、工作经历、之前所做过的工作及个人专长或者技能优势。扬长避短,一定要口语化,语速适中。沟通好的就多说几句,沟通不好的话就尽量少说两句。举例如下: 面试官你好&…

.net core 的 winform 的 浏览器控件 WebView2

在.NET Core WinForms应用程序中,没有直接的“浏览器控件”,因为WinForms不支持像WebBrowser控件那样的功能。但是,你可以使用WebView2控件,它是一个基于Chromium的浏览器内核,可以在WinForms应用程序中嵌入Web内容。 …

Science Robotics 麻省理工学院最新研究,从仿真中学习的精确选择、定位和抓放物体的视触觉方法

现有的机器人系统在通用性和精确性两个性能目标上难以同时兼顾,往往会陷入一个机器人解决单个任务的情况,缺乏"精确泛化"。本文针对精准和通用的同时兼顾提出了解决方法。提出了SimPLE(Pick Localize和placE的仿真模拟)作为精确拾取和放置的解…

昇思25天学习打卡营第9天|MindSpore使用静态图加速(基于context的开启方式)

在Graph模式下,Python代码并不是由Python解释器去执行,而是将代码编译成静态计算图,然后执行静态计算图。 在静态图模式下,MindSpore通过源码转换的方式,将Python的源码转换成中间表达IR(Intermediate Repr…