Viper(炫彩蛇)
-
Viper(炫彩蛇)是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.Viper基于msf二次开发, 提供图形化的操作界面,用户基于浏览器即可进行内网渗透。使用的方法都跟msf几乎一样,使用效果还是不错的里面现在已经集成了98个模块了。
这里用我之前讲取证溯源讲座搭的环境,用Viper再打一次,看看有啥不一样的体验。
Viper安装
安装比较简单,没有什么坑,跟着官方给的文档直接安就OK了
viper-c is up-to-date
当出现这串字符时,说明就安装成功了。
然后用浏览器访问ip:60000,默认用户名是root,密码就是你自己设置的,就登上去了。
打点
在linux上我安装的是dedecms-5.7_sp1。这个cms比较经典,因为dedecms漏洞比较多,整个合集都够写本小说了。。。
首先访问http://testdede.com/(linux上用bt搭的)网站。
然后就是找后台,dedecms默认的后台地址在/dede。
如果修改之后的话,也是有很多方法找后台的,比如看robot.txt。
-
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p
-
include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理员帐号,新版本的就直接转向了后台.
-
include/dialog/config.php会爆出后台管理路径
-
include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录
-
/dede/inc/inc_archives_functions.php
-
根据错误日志信息,访问/plus/mysql_error_trace.inc
-
实战的话,还可以用搜索引擎来搜索(列:site:test.com inurl:login.php)。
实在不行,还可以利用tags.php来进行爆破,网上有很多脚本的。
访问后台,尝试默认账密admin:admin。成功进入后台。
如果这里不是弱口令的话,可以通过注入拿到账密,也可以识别验证码去爆破。一般后台的密码都是admin。
进后台之后,就是getshell了,在后台可以通过配置文件写入webshell,这个方法我在实战的时候也用过。
写进去之后,他不是存在数据库里的,而是存在在/data/config.cache.inc.php这个文件里。
直接蚁剑连接就行http://testdede.com/data/config.cache.inc.php
(如果有bt的waf的话 ,可以用冰蝎、哥斯拉,这些流量有加密的webshell,或者用蚁剑的rsa🐎,都可以绕过waf的特征检测的)。
上去之后,一般bt都是有disable的,但是一般都会有 FPM ,可以通过bypass_disable_functions插件一键打 FPM 来绕disable_functions。
绕过之后权限只有www,这里可以考虑一下提权了。
Viper
这时候就轮到主角Viper上场了。
打开之后,先创建一个监听:
监听载荷-->新建监听。
这里选64位Linux的反弹监听,端口任意。
然后选生成载荷,这里还可以生成免杀,真不戳。。。那就浅浅试一下。
生成之后会自动下载。然后把扔到机器上,运行之后上线成功。
linux提权
现在尝试linux提权
首先尝试suid提权, 查看具有root用户权限的SUID文件
find / -perm -u=s -type f 2>/dev/null
这里首先尝试用find来尝试。
利用成功。然后这里可以再反弹一个session回来就行了,执行成功之后得到一个root的shell。
现在再去查看bt的相关配置文件就有权限了,同样,bt的面板我们就拿到了。
接着进行横向,查看IP段,进行内网扫描。
横向
先添加一个代理。然后用
然后使用kali的代理工具proxychains连上代理,nmap进行扫描。
发现域内机器一台,445和3389都开放。先用ms17_010探测模块进行探测。
这里点击横向移动->MS-17010扫描,填写IP列表。然后进行探测。
这里出现一个问题,当我准备攻击的时候,他提醒我,只支持windows的meterpreter。没办法,打不了了。只有用其他办法了。
因为3389开放,我们还可以爆破rdp,或者爆破smb也行。
继续用hadry进行爆破,最后爆破出一个弱口令test/Passw0rd。
然后rdp登陆上去发现这台机器也是出网的。查看进程没有杀软之后。扔个马上去继续Viper。生成马儿的方法跟之前一样。
win7
查看网卡,这是台双网卡机器,并且这台机器在域里。ping一下域名得到域控地址10.0.0.10。
要想搞掉域控,得要提个权先。
这里使用它自带的提权模块提权失败了。
但是比较他的 ’搜索可利用CVE ‘这个模块还是比较好用的。给我列了一堆可利用的提权cve,浅浅拿一个试试。
使用ms16-032提权成功。上线system的session。
MSF-令牌窃取
进入隐身模式:use incognito
我这里已经加载过了,所以显示already been loaded
第一次加载应该是Success
列出可用的令牌
list_tokens -u
模拟令牌
命令:impersonate_token axxxx\Administrator
这里域名后面斜杠要写俩,不然要报错
然后就可以用$ipc进行连接了。
然后先添加路由。通过win7上添加路由,可以点自动添加。然后生成马儿上线。
创建一个正向链接的监听。
然后生成一个正向载荷。
再通过ipc传到dc,用Psexec执行。
PsExec64.exe -accepteula \dc -s cmd.exe
或者用计划任务来执行。
创建计划任务
schtasks /create /tn "test" /tr c:\1644294636.exe /sc once /st 10:29 /S 10.0.0.10 /RU System /u
立即执行
schtasks /run /tn "test" /S 10.0.0.10
.然后上线成功!
总结
用Viper打自己搭的靶机玩了一下。体验还不错。听其他师傅说Viper的免杀效果不错。可惜我这个环境没装杀软。不然还可以试试。