老外的一套渗透测试报告

老外的一套渗入测试报告offensive security出的一份渗入测试报告，翻译了下重点内容 :)过程还是很精彩的本次测试的域名为：先查看一下其DNS服务器：然后发现 存在域传送漏洞。从图片中可以看出域名都在50.7.67.x的IP段内，网络拓扑图：在服务器的81端口发现了apache的webserver，然后扫一下文献途径：可以看到/admin是一种需要身份验证的途径。根据.com网站内容做了一种字典，爆破密码，顾客名就用admin了。破解出密码为：nanotechnology1进入后界面：可以看到是一套phpSQLiteCMS，管理SQLite数据的：通过此页面可以直接查询顾客名和密码的hash：测试发现保存的hash并非常规的方式，于是下载一份phpselitecms观测其中的hash方式：懂得了hash的方式是使用使用了一种10位字符的salt一起做sha1，并且字符串拼接原始salt一起放在数据库中。我们采用同样的hash方式来暴力碰撞密码，尝试破解其她账户，又破解出两个来，收集密码的好处是也许其她系统也会使用相似的顾客名密码，这样就可以轻松的进入了。SQLite Manager软件存在一种已公开的代码注入漏洞，可以使用exp直接打：反弹回shell：服务器拓扑：同步发现服务器可以提权，运用exp提权：此时已经完全控制此台服务器。然后好好的分析了一下此台服务器，查看到web目录下java应用只容许一种网段来访问。后来发现这个管理员网络之一：我们在web客户端增长了一种Java小程序，可以直接控制远程客户端。（PS：出了这样多Java 0day不懂得直接挂到页面上，老外的中马率怎么样）在管理员下载并容许后：此时网络拓扑：发现管理员的电脑在域中，开始提高到域管理员。发现系统中有一种组管理文献。（ps：有关这个专门去查了一下是域管理存在的一种问题：）metasploit上有rb脚本可以查找xml文献并解密：查看groups.xml文献：解密：解密的ruby脚本贴出来：使用措施是：#ruby decrypt.rb 密文尝试用plink端口转发，把内网的远程桌面连接转发出来，但是被阻断了：测试后发现可以通过HTTP-Tunnel转发出来：登陆的顾客名密码采用的是SQLite Manager应用中的mike顾客。此时网络拓扑图：打开IE的默认主页发现了Citrix服务器，用跟远程连接相似的顾客名和密码进入：Citrix环境当中，做了沙盒，只能使用IE，但是可以绕过。使用IE的保存，弹出的对话框，新建一种powershell的bat批解决：运用powershell下载metasploit的反弹程序下载完毕后，在保存对话框中已管理员的权限运营这样就获得了Citrix系统的权限此时网络拓扑：在Citrix上，尝试从内存中获取顾客名密码：这里涉及了诸多的顾客名和密码，其中还涉及一种windows域管理员的。给Citrix服务器创立了一种远程连接服务并使用域管理员登陆：至此已经完全控制了windows域。