旧酒犹香——Pentestit Test Lab第九期(上)
前言
Test Lab是一家名为Pentestit的俄罗斯公司所提供的系列在线靶场。不同于Hackthebox、Vulhub等各类在线/离线靶机,Test Lab通过模拟真实企业内网环境,为渗透测试者提供了免费练习平台。Test Lab中预留了若干token,参与者提交token标志着完成了特定渗透步骤。
截止目前,Test Lab以数月1期的速度更新到了第12期。早前已有网友发表了第10期的过关Write up。这里翻出官方推荐的第九期过关俄文Write Up(来自网友alexeystoletny),翻译、校正、优化后搬运给大家。旧酒犹香,别看是16年的老环境,个人觉得还是内容丰富,颇具特色的。以下开始正文,阅读时间预计1小时:
2016年5月20日,Pentestit启动了一个全新的第九期Test lab(模拟了一个企业网络)供渗透测试实战练习。
感谢Pentestit实验室,我们可以随时了解最新的漏洞并向专业人士(那些每天接触真实网络的渗透测试者)学习,从而有机会成为真正的渗透测试者。
到2016年6月1日,本期Test lab中所有13台机器和14个FLAG全部被攻克。为了帮助那些错过的人们了解当前漏洞和渗透测试世界,接下来我将记录完整的过关过程。
过程很费力且文字叙说起来必然冗长,但是我尽力描述得有趣些。
连接到实验室
在开始之前,你需要注册账号,并设置VPN,连接到虚拟CyBear32C公司网络。整个测试可以在Kali Linux中完成。
我们开始测试
注册和连接后,我们看到以下网络拓扑图:
通过VPN我们可以访问公司网络唯一的外部IP 192.168.101.8(模拟现实中的Internet网关)。像往常一样,需要从枚举开始,特别是通过端口扫描来确定可供外部访问的内部子网服务。
首先是快速端口扫描: nmap -v -n -sV 192.168.101.8
如你所见,我们可以访问来自不同内部主机的一些服务(请参阅网络拓扑图),最有可能的是mainsite主站服务器(端口80),mail邮件服务器(25,8100)和ssh服务器(端口22)等。此外,还有https服务和代理服务器。
MAINSITE
访问http://192.168.101.8/:
我们被自动重定向到域名www.cybear32c.lab
Location: http://cybear32c.lab显然这是一个该公司网站上的虚拟主机。
在/etc/hosts中手动添加本地DNS解析后重试:
可以正常访问网站。首先使用whatweb和dirb工具来帮助获取网站信息和发现子目录(也可以使用其他扫描程序,例如nikto):
我们看到所有请求的响应代码都是403,所以初步判断该站点受到WAF保护。尝试替换UA为默认用户的请求来源-浏览器,发现了一些有用的页面:
网站使用的是WordPress。访问/admin页面,WAF会将我们带到一个已关闭的wp-login.php:
对于Wordpress站点,wpscan是一个很棒的工具。它允许你检查WP站点是否有存在漏洞的插件。我们尝试扫描网站(记得指定浏览器UA),很快检测到了几个问题,其中包括易受SQL注入的插件wp-symposium v15.1。
接着,尝试在参考链接的帮助下利用这些漏洞。但不幸的是SQL查询payload并不能通过WAF。我们需要绕开它……
WAF绕过
通常,许多Web应用程序防火墙可以使用技巧来绕过:添加注释或更改查询中的大小写(例如vErSiOn替换Version)。绕过WAF是一门高深的学问,可以整出许多书籍和文章,在这不多扯了。我们换个思路:
设置浏览器HTTP代理,发现代理需要认证(火狐浏览器无法直接支持):
