IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 浅试Viper -> 正文阅读

[PHP知识库]浅试Viper

Viper(炫彩蛇)

  • Viper(炫彩蛇)是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.Viper基于msf二次开发, 提供图形化的操作界面,用户基于浏览器即可进行内网渗透。使用的方法都跟msf几乎一样,使用效果还是不错的里面现在已经集成了98个模块了。

    这里用我之前讲取证溯源讲座搭的环境,用Viper再打一次,看看有啥不一样的体验。

    Viper安装

    安装比较简单,没有什么坑,跟着官方给的文档直接安就OK了

    传送门

    viper-c is up-to-date

    当出现这串字符时,说明就安装成功了。

    然后用浏览器访问ip:60000,默认用户名是root,密码就是你自己设置的,就登上去了。

    打点

    在linux上我安装的是dedecms-5.7_sp1。这个cms比较经典,因为dedecms漏洞比较多,整个合集都够写本小说了。。。

    首先访问http://testdede.com/(linux上用bt搭的)网站。

    然后就是找后台,dedecms默认的后台地址在/dede。

    如果修改之后的话,也是有很多方法找后台的,比如看robot.txt。

    • include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

    • include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理员帐号,新版本的就直接转向了后台.

    • include/dialog/config.php会爆出后台管理路径

    • include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录

    • /dede/inc/inc_archives_functions.php

    • 根据错误日志信息,访问/plus/mysql_error_trace.inc

实战的话,还可以用搜索引擎来搜索(列:site:test.com inurl:login.php)。

实在不行,还可以利用tags.php来进行爆破,网上有很多脚本的。

访问后台,尝试默认账密admin:admin。成功进入后台。

如果这里不是弱口令的话,可以通过注入拿到账密,也可以识别验证码去爆破。一般后台的密码都是admin。

进后台之后,就是getshell了,在后台可以通过配置文件写入webshell,这个方法我在实战的时候也用过。

在这里插入图片描述

写进去之后,他不是存在数据库里的,而是存在在/data/config.cache.inc.php这个文件里。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zBq9XuAQ-1650028982732)(vi\1649992032694.png)]

直接蚁剑连接就行http://testdede.com/data/config.cache.inc.php

(如果有bt的waf的话 ,可以用冰蝎、哥斯拉,这些流量有加密的webshell,或者用蚁剑的rsa🐎,都可以绕过waf的特征检测的)。

上去之后,一般bt都是有disable的,但是一般都会有 FPM ,可以通过bypass_disable_functions插件一键打 FPM 来绕disable_functions。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NlCeUuzY-1650028982733)(vi\1649992693514.png)]

绕过之后权限只有www,这里可以考虑一下提权了。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OBio9UnC-1650028982733)(vi\1649992803346.png)]

Viper

这时候就轮到主角Viper上场了。

打开之后,先创建一个监听:

监听载荷–>新建监听。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CS6Yn31t-1650028982734)(vi\1649992979032.png)]

这里选64位Linux的反弹监听,端口任意。

然后选生成载荷,这里还可以生成免杀,真不戳。。。那就浅浅试一下。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8AsWnOz8-1650028982735)(vi\1649993259002.png)]

生成之后会自动下载。然后把扔到机器上,运行之后上线成功。

linux提权

现在尝试linux提权

首先尝试suid提权, 查看具有root用户权限的SUID文件

find / -perm -u=s -type f 2>/dev/null

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SJEanM7Z-1650028982735)(D:\TOOLS\备份\笔记\vi\1649996110794.png)]

这里首先尝试用find来尝试。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WjPYnDFi-1650028982736)(vi\1649996284420.png)]

利用成功。然后这里可以再反弹一个session回来就行了,执行成功之后得到一个root的shell。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jCMYcN7v-1650028982737)(vi\1649996495138.png)]

现在再去查看bt的相关配置文件就有权限了,同样,bt的面板我们就拿到了。

接着进行横向,查看IP段,进行内网扫描。

横向

先添加一个代理。然后用

在这里插入图片描述

然后使用kali的代理工具proxychains连上代理,nmap进行扫描。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3ZCWOZgm-1650028982739)(vi\1650007494378.png)]

发现域内机器一台,445和3389都开放。先用ms17_010探测模块进行探测。

这里点击横向移动->MS-17010扫描,填写IP列表。然后进行探测。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OXUxL9MD-1650028982740)(vi\1650007665351.png)]

这里出现一个问题,当我准备攻击的时候,他提醒我,只支持windows的meterpreter。没办法,打不了了。只有用其他办法了。

因为3389开放,我们还可以爆破rdp,或者爆破smb也行。

继续用hadry进行爆破,最后爆破出一个弱口令test/Passw0rd。

然后rdp登陆上去发现这台机器也是出网的。查看进程没有杀软之后。扔个马上去继续Viper。生成马儿的方法跟之前一样。

win7

查看网卡,这是台双网卡机器,并且这台机器在域里。ping一下域名得到域控地址10.0.0.10。

要想搞掉域控,得要提个权先。

这里使用它自带的提权模块提权失败了。

但是比较他的 ’搜索可利用CVE ‘这个模块还是比较好用的。给我列了一堆可利用的提权cve,浅浅拿一个试试。

使用ms16-032提权成功。上线system的session。

令牌窃取

进入隐身模式:use incognito

我这里已经加载过了,所以显示already been loaded

第一次加载应该是Success

列出可用的令牌

list_tokens -u

模拟令牌

命令:impersonate_token axxxx\Administrator

这里域名后面斜杠要写俩,不然要报错

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hBwmxKeI-1650028982740)(vi\1650020403222.png)]

然后就可以用$ipc进行连接了。

然后先添加路由。通过win7上添加路由,可以点自动添加。然后生成马儿上线。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D5TnISwJ-1650028982741)(vi\1650025451995.png)]

创建一个正向链接的监听。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T9nKaCvy-1650028982741)(vi\1650025329663.png)]

然后生成一个正向载荷。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z7f1iZ90-1650028982742)(vi\1650025777498.png)]

再通过ipc传到dc,用Psexec执行。

PsExec64.exe -accepteula \dc -s cmd.exe

或者用计划任务来执行。

创建计划任务

schtasks /create /tn “test” /tr c:\1644294636.exe /sc once /st 10:29 /S 10.0.0.10 /RU System /u

立即执行

schtasks /run /tn “test” /S 10.0.0.10

.然后上线成功!

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9FDGhpV1-1650028982743)(vi\1650028529740.png)]

总结

用Viper打自己搭的靶机玩了一下。体验还不错。听其他师傅说Viper的免杀效果不错。可惜我这个环境没装杀软。不然还可以试试。

参考文章:https://mp.weixin.qq.com/s/Ua9J47hXgVs3xK96lgL-tg

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-04-18 17:20:14  更:2022-04-18 17:20:44 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 7:43:25-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码