Viper(炫彩蛇)

  • Viper(炫彩蛇)是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.Viper基于msf二次开发, 提供图形化的操作界面,用户基于浏览器即可进行内网渗透。使用的方法都跟msf几乎一样,使用效果还是不错的里面现在已经集成了98个模块了。

    这里用我之前讲取证溯源讲座搭的环境,用Viper再打一次,看看有啥不一样的体验。

    Viper安装

    安装比较简单,没有什么坑,跟着官方给的文档直接安就OK了

    传送门

    viper-c is up-to-date

    当出现这串字符时,说明就安装成功了。

    然后用浏览器访问ip:60000,默认用户名是root,密码就是你自己设置的,就登上去了。

    打点

    在linux上我安装的是dedecms-5.7_sp1。这个cms比较经典,因为dedecms漏洞比较多,整个合集都够写本小说了。。。

    首先访问http://testdede.com/(linux上用bt搭的)网站。

    然后就是找后台,dedecms默认的后台地址在/dede。

    如果修改之后的话,也是有很多方法找后台的,比如看robot.txt。

    • include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

    • include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理员帐号,新版本的就直接转向了后台.

    • include/dialog/config.php会爆出后台管理路径

    • include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录

    • /dede/inc/inc_archives_functions.php

    • 根据错误日志信息,访问/plus/mysql_error_trace.inc

实战的话,还可以用搜索引擎来搜索(列:site:test.com inurl:login.php)。

实在不行,还可以利用tags.php来进行爆破,网上有很多脚本的。

访问后台,尝试默认账密admin:admin。成功进入后台。

如果这里不是弱口令的话,可以通过注入拿到账密,也可以识别验证码去爆破。一般后台的密码都是admin。

进后台之后,就是getshell了,在后台可以通过配置文件写入webshell,这个方法我在实战的时候也用过。

写进去之后,他不是存在数据库里的,而是存在在/data/config.cache.inc.php这个文件里。

1649992032694

直接蚁剑连接就行http://testdede.com/data/config.cache.inc.php

(如果有bt的waf的话 ,可以用冰蝎、哥斯拉,这些流量有加密的webshell,或者用蚁剑的rsa🐎,都可以绕过waf的特征检测的)。

上去之后,一般bt都是有disable的,但是一般都会有 FPM ,可以通过bypass_disable_functions插件一键打 FPM 来绕disable_functions。

1649992693514

绕过之后权限只有www,这里可以考虑一下提权了。

1649992803346

Viper

这时候就轮到主角Viper上场了。

打开之后,先创建一个监听:

监听载荷-->新建监听。

这里选64位Linux的反弹监听,端口任意。

然后选生成载荷,这里还可以生成免杀,真不戳。。。那就浅浅试一下。

1649993259002

生成之后会自动下载。然后把扔到机器上,运行之后上线成功。

linux提权

现在尝试linux提权

首先尝试suid提权, 查看具有root用户权限的SUID文件

find / -perm -u=s -type f 2>/dev/null

1649996110794

这里首先尝试用find来尝试。

1649996284420

利用成功。然后这里可以再反弹一个session回来就行了,执行成功之后得到一个root的shell。

1649996495138

现在再去查看bt的相关配置文件就有权限了,同样,bt的面板我们就拿到了。

接着进行横向,查看IP段,进行内网扫描。

横向

先添加一个代理。然后用

1650007066396

然后使用kali的代理工具proxychains连上代理,nmap进行扫描。

1650007494378

发现域内机器一台,445和3389都开放。先用ms17_010探测模块进行探测。

这里点击横向移动->MS-17010扫描,填写IP列表。然后进行探测。

1650007665351

这里出现一个问题,当我准备攻击的时候,他提醒我,只支持windows的meterpreter。没办法,打不了了。只有用其他办法了。

因为3389开放,我们还可以爆破rdp,或者爆破smb也行。

继续用hadry进行爆破,最后爆破出一个弱口令test/Passw0rd。

然后rdp登陆上去发现这台机器也是出网的。查看进程没有杀软之后。扔个马上去继续Viper。生成马儿的方法跟之前一样。

win7

查看网卡,这是台双网卡机器,并且这台机器在域里。ping一下域名得到域控地址10.0.0.10。

要想搞掉域控,得要提个权先。

这里使用它自带的提权模块提权失败了。

但是比较他的 ’搜索可利用CVE ‘这个模块还是比较好用的。给我列了一堆可利用的提权cve,浅浅拿一个试试。

使用ms16-032提权成功。上线system的session。

MSF-令牌窃取

进入隐身模式:use incognito

我这里已经加载过了,所以显示already been loaded

第一次加载应该是Success

列出可用的令牌

list_tokens -u

模拟令牌

命令:impersonate_token axxxx\Administrator

这里域名后面斜杠要写俩,不然要报错

1650020403222

然后就可以用$ipc进行连接了。

然后先添加路由。通过win7上添加路由,可以点自动添加。然后生成马儿上线。

1650025451995

创建一个正向链接的监听。

1650025329663

然后生成一个正向载荷。

1650025777498

再通过ipc传到dc,用Psexec执行。

PsExec64.exe -accepteula \dc -s cmd.exe

或者用计划任务来执行。

创建计划任务

schtasks /create /tn "test" /tr c:\1644294636.exe /sc once /st 10:29 /S 10.0.0.10 /RU System /u

立即执行

schtasks /run /tn "test" /S 10.0.0.10

.然后上线成功!

1650028529740

总结

用Viper打自己搭的靶机玩了一下。体验还不错。听其他师傅说Viper的免杀效果不错。可惜我这个环境没装杀软。不然还可以试试。

参考文章:https://mp.weixin.qq.com/s/Ua9J47hXgVs3xK96lgL-tg