[PHP知识库]浅试Viper

Viper(炫彩蛇)

• Viper(炫彩蛇)是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.Viper基于msf二次开发， 提供图形化的操作界面,用户基于浏览器即可进行内网渗透。使用的方法都跟msf几乎一样，使用效果还是不错的里面现在已经集成了98个模块了。

  这里用我之前讲取证溯源讲座搭的环境，用Viper再打一次，看看有啥不一样的体验。

  Viper安装

  安装比较简单，没有什么坑，跟着官方给的文档直接安就OK了

  传送门

  viper-c is up-to-date

  当出现这串字符时，说明就安装成功了。

  然后用浏览器访问ip:60000，默认用户名是root，密码就是你自己设置的，就登上去了。

  打点

  在linux上我安装的是dedecms-5.7_sp1。这个cms比较经典，因为dedecms漏洞比较多，整个合集都够写本小说了。。。

  首先访问http://testdede.com/(linux上用bt搭的)网站。

  然后就是找后台，dedecms默认的后台地址在/dede。

  如果修改之后的话，也是有很多方法找后台的，比如看robot.txt。

  • include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

  • include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理员帐号,新版本的就直接转向了后台.

  • include/dialog/config.php会爆出后台管理路径

  • include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录

  • /dede/inc/inc_archives_functions.php

  • 根据错误日志信息，访问/plus/mysql_error_trace.inc

实战的话，还可以用搜索引擎来搜索（列：site:test.com inurl:login.php）。

实在不行，还可以利用tags.php来进行爆破，网上有很多脚本的。

访问后台，尝试默认账密admin：admin。成功进入后台。

如果这里不是弱口令的话，可以通过注入拿到账密，也可以识别验证码去爆破。一般后台的密码都是admin。

进后台之后，就是getshell了，在后台可以通过配置文件写入webshell，这个方法我在实战的时候也用过。

写进去之后，他不是存在数据库里的，而是存在在/data/config.cache.inc.php这个文件里。

直接蚁剑连接就行http://testdede.com/data/config.cache.inc.php

（如果有bt的waf的话 ，可以用冰蝎、哥斯拉，这些流量有加密的webshell，或者用蚁剑的rsa🐎，都可以绕过waf的特征检测的）。

上去之后，一般bt都是有disable的，但是一般都会有 FPM ，可以通过bypass_disable_functions插件一键打 FPM 来绕disable_functions。

绕过之后权限只有www，这里可以考虑一下提权了。

Viper

这时候就轮到主角Viper上场了。

打开之后，先创建一个监听:

监听载荷–>新建监听。

这里选64位Linux的反弹监听，端口任意。

然后选生成载荷，这里还可以生成免杀，真不戳。。。那就浅浅试一下。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8AsWnOz8-1650028982735)(vi\1649993259002.png)]

生成之后会自动下载。然后把扔到机器上，运行之后上线成功。

linux提权

现在尝试linux提权

首先尝试suid提权, 查看具有root用户权限的SUID文件

find / -perm -u=s -type f 2>/dev/null

这里首先尝试用find来尝试。

利用成功。然后这里可以再反弹一个session回来就行了，执行成功之后得到一个root的shell。

现在再去查看bt的相关配置文件就有权限了，同样，bt的面板我们就拿到了。

接着进行横向，查看IP段，进行内网扫描。

横向

先添加一个代理。然后用

然后使用kali的代理工具proxychains连上代理，nmap进行扫描。

发现域内机器一台，445和3389都开放。先用ms17_010探测模块进行探测。

这里点击横向移动->MS-17010扫描，填写IP列表。然后进行探测。

这里出现一个问题，当我准备攻击的时候，他提醒我，只支持windows的meterpreter。没办法，打不了了。只有用其他办法了。

因为3389开放，我们还可以爆破rdp，或者爆破smb也行。

继续用hadry进行爆破,最后爆破出一个弱口令test/Passw0rd。

然后rdp登陆上去发现这台机器也是出网的。查看进程没有杀软之后。扔个马上去继续Viper。生成马儿的方法跟之前一样。

win7

查看网卡，这是台双网卡机器，并且这台机器在域里。ping一下域名得到域控地址10.0.0.10。

要想搞掉域控，得要提个权先。

这里使用它自带的提权模块提权失败了。

但是比较他的 ’搜索可利用CVE ‘这个模块还是比较好用的。给我列了一堆可利用的提权cve，浅浅拿一个试试。

使用ms16-032提权成功。上线system的session。

令牌窃取

进入隐身模式：use incognito

我这里已经加载过了，所以显示already been loaded

第一次加载应该是Success

列出可用的令牌

list_tokens -u

模拟令牌

命令：impersonate_token axxxx\Administrator

这里域名后面斜杠要写俩，不然要报错

然后就可以用$ipc进行连接了。

然后先添加路由。通过win7上添加路由，可以点自动添加。然后生成马儿上线。

创建一个正向链接的监听。

然后生成一个正向载荷。

再通过ipc传到dc，用Psexec执行。

PsExec64.exe -accepteula \dc -s cmd.exe

或者用计划任务来执行。

创建计划任务

schtasks /create /tn “test” /tr c:\1644294636.exe /sc once /st 10:29 /S 10.0.0.10 /RU System /u

立即执行

schtasks /run /tn “test” /S 10.0.0.10

.然后上线成功！

总结

用Viper打自己搭的靶机玩了一下。体验还不错。听其他师傅说Viper的免杀效果不错。可惜我这个环境没装杀软。不然还可以试试。

参考文章：https://mp.weixin.qq.com/s/Ua9J47hXgVs3xK96lgL-tg

创作挑战赛

新人创作奖励来咯，坚持创作打卡瓜分现金大奖