网络安全-企业环境渗透2-wordpress任意文件读FFmpeg任意文件读

一、 实验名称

企业环境渗透2

二、 实验目的

【实验描述】

操作机的操作系统是kali 进入系统后默认是命令行界面 输入startx命令即可打开图形界面。

所有需要用到的信息和工具都放在了/home/Hack 目录下。

本实验的任务是通过外网的两个主机通过代理渗透到内网的两个主机。在渗透的过程中一般需要先进行端口扫描猜测主机上运行的服务,再通过漏洞利用脚本和其他扫描工具进一步确定漏洞存在,进而完成主机渗透拿到权限。

在本实验中需要查找flag{32位MD5}字样的字符串作为完成任务的凭证,将flag放到表单中提交。

通过外网系统漏洞获取目标机器的权限

通过获取服务器的权限后,通过此机器为跳板入侵内网

【实验目的】

Weblogic的java反序列漏洞应用

Wordpress任意文件读取的漏洞利用

Wordpress命令执行的漏洞利用

WordPress通过自己修改的EXP,getshell

通过代理扫描内网

Redis未授权访问以及对配置文件的理解

Ffmpeg任意文件的读取结合redis的利用

Drupal由于YAML解析器处理不当导致远程代码执行

三、 实验内容及原理

##任务一、Weblogic反序列化

###任务描述

整体扫描外部网络,探测暴露在外部的主机信息

利用java反序列化漏洞利用脚本执行系统命令。

在系统home目录下寻找flag字样的值提交,提交后该实验任务完成。

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

掌握java反序列化漏洞利用脚本的使用。

熟悉weblogic的常见端口。

掌握网络扫描探测的方法和技术原理和nmap的简单实用

###操作步骤

浏览器访问192.168.2.10的7001端口

使用weblogic java反序列化利用工具获取权限

所有需要用到的信息和工具都放在了/home/Hack 目录下。

在home目录下查找flag字样字符串提交

##任务二、Wordpress任意文件读取

###任务描述

使用wpscan工具扫描wordpress的插件漏洞

主要针对插件WP Hide Security Enhancer存在的任意文件读取漏洞,以此读取到网站主要文件。

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

掌握wordpress插件WP Hide Security Enhancer漏洞的利用方法。

掌握wpscan工具的使用和插件扫描命令

###操作步骤

1.利用wpscan扫描wordpress网站,扫描漏洞插件

 

注意 -e p扫描插件漏洞

 

2.利用扫描出的插件漏洞读取wp-config.php的文件内容

上面给出了漏洞文档链接

Arbitrary File Download Vulnerability in WP Hide Security Enhancer 1.3.9.2 - SecuPress

访问看看

这样可以获取wpconfig.php

3.读取wp-config.php的flag字符串提交

##任务三、Wordpress命令执行

###任务描述

利用Burpsuite的repeater模块修改包探测漏洞存在的字段。

执行wordpress mailer命令执行漏洞的利用脚本尝试获取shell。

本任务的目的是通过wordpress主系统本身的漏洞进一步渗透,任务二只是获得了文件读取的能力,而不能命令执行。经过进一步的探测,判断这个wordpress中存在phpmailer的命令执行漏洞,这个漏洞的特点是通过HTTP包中的Host字段触发,唯一的前提条件是需要知道管理员的用户名。

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

掌握浏览器设置代理的方法

掌握Burpsuite抓包改包的基本操作和使用repeater模块探测漏洞字段。

掌握wordpress mailer漏洞的原理和脚本使用。

###操作步骤

访问目标网站,在浏览器中配置代理,用Burpsuite拦截请求包

使用Firefox浏览器工具栏中的“设置”工具进行“手动代理Manual Proxy”配置
设置的位置在Preference advanced  

设置代理为127.0.0.1:8080

 

 

使用Burpsuite的repeater模块探测漏洞字段。

 

理解wordpress mailer漏洞的原理,执行wp.sh 脚本获取响应 信息

##任务四、通过改进漏洞利用脚本获得命令执行权限

###任务描述

通过分析sendmail中的语法改进作者的漏洞利用脚本,缩短host字段的长度绕过限制。

利用改进后的漏洞利用脚本来获取shell。

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

熟悉sendmail命令语法。

掌握webshell命令执行漏洞的常规下载执行的利用思路。

掌握在浏览器上配置代理的方法。

掌握利用Burpsuite的repeater模块改包测试的过程。

###操作步骤

查看漏洞利用脚本wordpress-rce-exploit.sh理解脚本改进的原理。

修改为

填写漏洞利用脚本的关键信息如反弹IP,监听端口等。本地监听设置的端口获取反弹的shell。

打开第二个shell监听

第一个shell执行

得到shell

利用shell上传regeorg的tunnel.php文件,使用regeorg架设代理

再开启一个shell,设置本地服务器

原来的shell上传tunnel.nosocket.php

 

通过proxychains设置好regeorg的代理,利用这个代理扫描内网1.0网段

检测,上传成功

开启代理

 

Proxychains 添加代理地址 修改 proxychains.conf

 

然后可以远程命令行

扫描 192.168.1.10

 

192.168.1.11

##任务五、redis未授权访问+ffmpeg 任意文件读取

###任务描述

查看网页中的信息可知,是通过ffmpeg处理视频的小应用,只有上传,下载和删除功能,此处存在ffmpeg文件读取漏洞,构造特定的avi视频,经过ffmpeg处理之后的视频就会包含想要的文件内容。利用文件读取漏洞获取redis配置文件内容。

redis数据库服务,允许外连且没有设置密码,可以随意访问,此处存在未授权访问漏洞,正常情况下可以写入文件,但是过程中发现,必要的config命令被替换了。而config命令的替换一定是写在redis的配置文件中的,配置文件的路径又可以在redis中执行info获取到。在以上环境中获取到redis服务器的shell。

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

掌握ffmepg任意文件读取漏洞的利用方法。

了解redis数据库的特性和配置文件的使用。

掌握redis数据库未授权访问漏洞的利用方法。

###操作步骤

扫描目标开启的端口,发现web和redis服务

连接redis服务器查看配置文件位置

使用redis-cli和刚刚的代理

Info查看配置文件

利用ffmepg的任意文件读取漏洞构造payload读取redis配置文件,获取修改过后的config命令。

Ffmpeg 的任意读取漏洞参考 访问的文章审核中... - FreeBuf网络安全行业门户

生成avi

注意 file/// 位置是想获取的配置文件的位置

 

修改proxychains 配置文件,socks4

然后可以使用  命令  proxychains firefox & 来代理。

这样原来本地192.168.2.200访问不了的192.168.1.11 可以借助代理的192.168.2.11访问

如图

可见该网站利用ffmpeg转换视频,故可利用漏洞

上传刚刚的avi

 

然后下载 123.avi

在 /root/downloads查看下载好的视频,其中内容即为

可见 config 被替换为 ccoonnffiigg

利用redis写入文件的特点覆盖目标的定时任务cron文件反弹shell

注意过程中可能出现链接问题,更换端口代理即可解决

然后执行脚本

 

成功反弹shell

可以查找flag

/home/flag/flag.txt

/etc/redis/63799.conf

##任务六、drupal8远程代码执行

###任务描述

使用浏览器挂代理访问内网机器192.168.1.10。

利用drupal8的php反序列化漏洞向目标服务器写入webshell。

使用Cknife连接已经生成的webshell

###实验目标

了解网络安全漏洞的概念以及现有的安全漏洞扫描工具。认知常见网络安全漏洞。

熟悉网站webshell的概念,理解上传webshell、获取webshell权限的意义和方法。

掌握webshell工具Cknife的基本使用,特别是设置代理的功能,查看上传文件,命令执行等功能的使用。

掌握在浏览器上配置代理的方法。

掌握利用drupal8的php反序列化漏洞的攻击方法和相关的技术原理。

###操作步骤

使用浏览器结合proxychains用之前的代理访问内网中的drupal8的web应用。

除了上面的 proxychains 代理访问,也可以直接设置firefox的代理

访问192.168.1.10

弱口令登录目标网站后台

利用反序列化漏洞执行phpinfo 探测网站信息

浏览发现此处可以上传

选简单配置,粘贴 drupal_exp.txt 的内容

导入后

利用反序列化漏洞写入webshell,并测试存在

然后就有了webshell

用Cknife设置代理连接webshell获取网站的权限

实验Cknife连接

设置代理

添加链接

 flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/921018.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Java 对象头、Mark Word、monitor与synchronized关联关系以及synchronized锁优化

1. 对象在内存中的布局分为三块区域: (1)对象头(Mark Word、元数据指针和数组长度) 对象头:在32位虚拟机中,1个机器码等于4字节,也就是32bit,在64位虚拟机中&#xff0…

Linux 进程概念与进程状态

目录 1. 冯诺依曼体系结构2. 操作系统(Operator System)2.1 概念2.2 设计OS的目的2.3 系统调用和库函数概念 3. 进程概念3.1 描述进程 - PCB3.2 task_struct3.3 查看进程3.4 通过系统调用获取进程标识符PID, PPID3.5 通过系统调用创建fork 4.…

计算机网络(14)ip地址超详解

先看图: 注意看第三列蓝色标注的点不会改变,A类地址第一个比特只会是0,B类是10,C类是110,D类是1110,E类是1111. IPv4地址根据其用途和网络规模的不同,分为五个主要类别(A、B、C、D、…

shell脚本启动springboot项目

nohup java -jar springboot.jar > springboot.log 2>&1 & 表示日志输出重定向到springboot.log日志文件, 而原本的日志继续输出到 项目同级的log文件夹下, 所以这个重定向没必要. 我们没必要要2分日志 #!/bin/bash# 获取springboot项目的进程ID PID$(ps -e…

51c大模型~合集76

我自己的原文哦~ https://blog.51cto.com/whaosoft/12617524 #诺奖得主哈萨比斯新作登Nature,AlphaQubit解码出更可靠量子计算机 谷歌「Alpha」家族又壮大了,这次瞄准了量子计算领域。 今天凌晨,新晋诺贝尔化学奖得主、DeepMind 创始人哈萨…

FileProvider高版本使用,跨进程传输文件

高版本的android对文件权限的管控抓的很严格,理论上两个应用之间的文件传递现在都应该是用FileProvider去实现,这篇博客来一起了解下它的实现原理。 首先我们要明确一点,FileProvider就是一个ContentProvider,所以需要在AndroidManifest.xml里面对它进行声明: <provideran…

【Java】二叉树:数据海洋中灯塔式结构探秘(上)

个人主页 &#x1f339;&#xff1a;喜欢做梦 二叉树中有一个树&#xff0c;我们可以猜到他和树有关&#xff0c;那我们先了解一下什么是树&#xff0c;在来了解一下二叉树 一&#x1f35d;、树型结构 1&#x1f368;.什么是树型结构&#xff1f; 树是一种非线性的数据结构&…

网口输出的加速度传感器

一、功能概述 1.1 设备简介 本模块为了对电机、风机、水泵等旋转设备进行预测性运维而开发&#xff0c;只需一个模块&#xff0c; 就可以采集旋转设备的 3 路振动信号&#xff08;XYZ 轴&#xff09;和一路温度信号&#xff0c;防护等级 IP67 &#xff0c;能够 适应恶劣的工业…

力扣面试经典 150(上)

文章目录 数组/字符串1. 合并两个有序数组2. 移除元素3. 删除有序数组中的重复项4. 删除有序数组的重复项II5. 多数元素6. 轮转数组7. 买卖股票的最佳时机8. 买卖股票的最佳时机II9. 跳跃游戏10. 跳跃游戏II11. H 指数12. O(1)时间插入、删除和获取随机元素13. 除自身以外数组的…

浅谈 proxy

应用场景 Vue2采用的defineProperty去实现数据绑定&#xff0c;Vue3则改为Proxy&#xff0c;遇到了什么问题&#xff1f; - 在Vue2中不能检测数组和对象的变化 1. 无法检测 对象property 的添加或移除 var vm new Vue({data:{a:1} })// vm.a 是响应式的vm.b 2 // vm.b 是…

P4-1【应用数组进行程序设计】第一节——知识要点:一维数组

视频&#xff1a; P4-1【应用数组进行程序设计】第一节——知识要点&#xff1a;一维数组 项目四 应用数组进行程序设计 任务一&#xff1a;冒泡排序 知识要点&#xff1a;一维数组 目录 一、任务分析 二、必备知识与理论 三、任务实施 一、任务分析 用冒泡法对任意输入…

【数据库入门】关系型数据库入门及SQL语句的编写

1.数据库的类型&#xff1a; 数据库分为网状数据库&#xff0c;层次数据库&#xff0c;关系型数据库和非关系型数据库四种。 目前市场上比较主流的是&#xff1a;关系型数据库和非关系型数据库。 关系型数据库使用结构化查询语句&#xff08;SQL&#xff09;对关系型数据库进行…

day07(单片机高级)继电器模块绘制

目录 继电器模块绘制 原理图 布局 添加板框 布线 按tab修改线宽度 布线换层 泪滴 铺铜 铺铜的作用 铺铜的使用规范 添加丝印 步骤总结 继电器模块绘制 到淘宝找一个继电器模块 继电器模块的使用&#xff08;超详细&#xff09;_继电器模块工作原理-CSDN博客文章浏览阅读4.8w次&…

1+X应急响应(网络)病毒与木马的处置:

病毒与木马的处置&#xff1a; 病毒与木马的简介&#xff1a; 病毒和木马的排查与恢复&#xff1a;

【电路笔记 TMS320F28335DSP】时钟+看门狗+相关寄存器(功能模块使能、时钟频率配置、看门狗配置)

时钟源和主时钟&#xff08;SYSCLKOUT&#xff09; 外部晶振&#xff1a;通常使用外部晶振&#xff08;如 20 MHz&#xff09;作为主要时钟源。内部振荡器&#xff1a;还可以选择内部振荡器&#xff08;INTOSC1 和 INTOSC2&#xff09;&#xff0c;适合无需高精度外部时钟的应…

CCE-基础

背景&#xff1a; 虚拟化产生解决物理机资源浪费问题&#xff0c;云计算出现实现虚拟化资源调度和管理&#xff0c;容器出现继续压榨虚拟化技术产生的资源浪费&#xff0c;用命名空间隔离&#xff08;namespace&#xff09; 灰度升级&#xff08;升级中不影响业务&#xff09…

基于LLama_factory的Qwen2.5大模型的微调笔记

Qwen2.5大模型微调记录 LLama-facrotyQwen2.5 模型下载。huggingface 下载方式Modelscope 下载方式 数据集准备模型微调模型训练模型验证及推理模型导出 部署推理vllm 推理Sglang 推理 LLama-facroty 根据git上步骤安装即可&#xff0c;要求的软硬件都装上。 llama-factory运行…

提取图片高频信息

提取图片高频信息 示例-输入&#xff1a; 示例-输出&#xff1a; 代码实现&#xff1a; import cv2 import numpy as npdef edge_calc(image):src cv2.GaussianBlur(image, (3, 3), 0)ddepth cv2.CV_16Sgray cv2.cvtColor(src, cv2.COLOR_BGR2GRAY)grad_x cv2.Scharr(g…

移动充储机器人“小奥”的多场景应用(上)

一、高速公路服务区应用 在高速公路服务区&#xff0c;新能源汽车的充电需求得到“小奥”机器人的及时响应。该机器人配备有储能电池和自动驾驶技术&#xff0c;能够迅速定位至指定充电点&#xff0c;为待充电的新能源汽车提供服务。得益于“小奥”的机动性&#xff0c;其服务…

怎么只提取视频中的声音?从视频中提取纯音频技巧

在数字媒体的广泛应用中&#xff0c;提取视频中的声音已成为一项常见且重要的操作。无论是为了学习、娱乐、创作还是法律用途&#xff0c;提取声音都能为我们带来诸多便利。怎么只提取视频中的声音&#xff1f;本文将详细介绍提取声音的原因、工具、方法以及注意事项。 一、为什…