滲透測試從RCE到SSH登錄
滲透測試從RCE到SSH登錄
在滲透測試中,拿到 webshell 后執行命令總會碰到很多不便,而使用 ssh 登錄則會方便許多。相比使用 webshell 工具執行命令,ssh 連接可以有命令提示、路徑補全、支持二次交互等優勢,本文記錄一個從 WEB RCE 漏洞到 SSH 登錄的姿勢。
過程Getshell
首先通過 Shiro 550 得到一個 shell
因為網站不出網,所以不能直接反彈 shell,通過 base64 寫入 webshell 到 web 目錄
echo <base64 webshell> |base64 -d > webapps/uploadImg/shell.jsp;ls -lah
架設代理
網站不出網,所以需要架設 socks 代理訪問 ssh 端口及內網主機,這里使用 Neo-reGeorg。首次使用,先生成自己密碼的 neoreg 服務端代碼
python3 neoreg.py generate -k <your-password>
執行后在 neoreg_servers 找到對應服務端語言的文件,這里是 tunnel.jsp,然后通過上面的 shell 上傳到目標服務器 web 目錄上,再通過 neoreg 連接
# -k 指定連接密碼,就是生成時用的密碼 # -u tunnel.jsp 的url # --skip 忽略https證書錯誤 # -l 本地socks服務監聽ip # -p 本地socks服務監聽端口 python3 neoreg.py -k <your-password> -u https://xxx.com/uploadImg/tunnel.jsp --skip -l 0.0.0.0 -p 30080
寫入 ssh 公鑰
為了盡量少修改服務器配置,通過寫入 ssh 公鑰可以不修改密碼或者破解密碼的情況下連接上 ssh。這里使用 xshell 生成秘鑰對,默認選項生成就可以了,shell 會自動保存秘鑰對,當然使用 ssh-keygen 也是可以的
然后把生成的公鑰文件,復制到目標主機的 ~/.ssh/authorized_keys 文件中,如果不存在可以創建
連接 ssh
配置 ssh 連接 127.0.0.2
配置用戶名及公鑰連接,公鑰選擇前面生成那個
配置代理,使用上面 neoreg 構建的代理
成功連接 ssh
為什么連接 127.0.0.2
經過實踐發現,通過代理連接目標主機的內網 ip 172.xx.xx.33 連接不上,而連接 127.0.0.1 時則提示主機指紋改變的問題,需要重新寫入指紋到目標主機才能連接,然而非 root 用戶無法寫入,連接 127.0.0.2 則完美避開問題
文章轉自公眾號:網絡安全學習圈
