i春秋自己写渗透工具,i春秋线上渗透测试培训

导航：

• 1、内网渗透之ms17-010
• 2、渗透测试报告自动生成工具
• 3、i春秋-真的很简单

内网渗透之ms17-010

在内网渗透时，通常挂上代理后。在内网首先会打啵ms17-010。在实战中，使用msf的ms17-010模块，数次没有反弹成功。基于此，到底如何成功利用ms17-010

在msf成功接收session之后，添加路由

然后使用ms17-010相关的模块进行探测是否存在该漏洞。

尝试利用

LHOST配置为公网IP

可以看到success。漏洞是可以利用的，但始终没有session。不知道什么原因。

参考资料： 利用公网Msf+MS17010跨网段攻击内网

笔者在本地搭建环境，也是同样的结果。尝试更改payload为

bind_tcp攻击者去连接，容易被防火墙和杀毒发现

可以成功生成session，但并不稳定，且在run的过程中非常容易导致本来的session died

在实际使用msf的ms17_010_eternalblue模块时，笔者观察到有几个弊端。

1.session 很容易died

2.ms17_010_eternalblue模块利用起来非常耗时

3.无法利用成功

有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。

所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。

参考资料： 萌新初试MS17-010方程式漏洞

工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件，替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候，调用x64.dll动态链接库，反弹到公网IP。原理和fb.py一样。

笔者通过ew代理进内网后，在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合，威力巨大。成功利用ms17-010

对于windows server 2008 ，msfvenom生成x64.dll文件

msf配置

将该x64.dll替换到方程式利用工具下面。

只需要更换目标的IP，就可以获取session。

对于windows server 2003 ，msfvenom生成x86.dll文件

msf配置

进一步利用的一些命令

实际测试发现这种session非常稳定。不会轻易go die

实际测试server 2003的ms17-010时，有时候多次执行后msf就接收不到session，而且ms17-010利用时，脆弱的server 2003非常容易蓝屏。

所以笔者选择一种稳定可靠一些的办法。

先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]

参考资料 Metasploit 「永恒之蓝」两种模块的利弊

system的权限可以直接激活guest用户添加管理员组。

注意：使用ms17_010_psexec需要指定管理员的用户名、密码，否则没有session

同样的操作，载入mimikatz，读取管理员密码。

渗透测试报告自动生成工具

公众号：白帽子左一

领取配套练手靶场、安全全套课程及工具...

在安服仔的日子里，发现其他人输出的渗透测试报告结果不规范，主要在报告质量、内容、字体、及修复方案中存在诸多问题，而且 大部分安服仔需要对每次的项目结果进行统计整理，方便后续跟踪复测。

因此研发了 Savior—渗透测试报告辅助生成系统 ， 起这个名字也是为了拯救大多数渗透测试工程师，

告别繁琐的渗透测试报告编写过程及漏洞统计过程。

前端 ： Ant Design Pro

后端 ： Django REST Framework

数据库 ： Mysql

用户管理 ： 主要是方便统计漏洞的发现者，后续可能大概也许会添加漏洞统计模块，根据提交数据、漏洞类型、时间等进行统计报表，当前用户管理模块仅允许通过Django后台进行修改，前端只负责展示，主要是我太懒了。

项目管理 ： 根据项目的不同可上传项目的专属渗透测报告模板，并可以根据需要进行模板自定义模板（/Demo/demo.docx）；

模板自定义 ： 不用修改源代码，仅需修改word即可进行模板自定义；

整改建议管理 ： 此平台主要就是为了体现标准化输出，因此可通过内置漏洞描述及修复建议进行快速输出，并支持自定义修改（/Demo/常规WEB渗透测试漏洞描述及修复方法.docx）；

一键生成： 通过提交报告模块，内联项目模板，快速生成渗透测试报告，真正达到了一键生成，并确保报告内数据准确、字体统一、格式标准；

自动邮件： 在生成报告后可通过用户管理配置的自动邮件发送功能进行邮件通知，可自定义邮件模板，这样再报告给客户的时候就可以直接转发了（暖男功能）；

漏洞统计： 每次渗透过后，需要挨个查找报告进行统计整理，现在只要提交报告后，后台会自动联动；

漏洞报表一键导出

漏洞跟踪： 增加了漏洞状态字段，创建报告后，漏洞状态默认为新增，漏洞管理模块可进行复测，包括已整改、未整改两种状态；

Demo ：

演示账号 ：admin

演示密码 ： Savior@404

首先将代码clone到本地：

Docker部署

我们推荐使用Docker进行部署，相对于源码部署更为简单和快速。

部署前请务必先安装 Docker 及 docker-compose 。

修改配置文件

首先复制根目录的 .env.docker 并重命名为 .env ， 修改其中的Email Settings和initial Administrator配置。

这两个配置分别控制邮件提醒，以及初始管理帐号密码及邮箱。

同时需要注意以下两点：

1. 务必把邮箱修改为自己邮箱，不然可能会出现非预期错误！

2. 如果使用阿里云、腾讯云服务器，请使用smtp的ssl协议，两家云厂商默认封禁了25端口。

一键启动

访问 即可看到页面。

修改启动端口

如果想修改启动端口，可以修改docker-compose.yaml文件中web容器的ports。

默认为8000:8000，比如要修改为8080端口可改为8080:8000。

所需环境：

前端环境

环境变量设置 创建字符集为utf-8编码的数据库。

复制**.env.docker为.env**，并配置数据库、邮箱、管理员等信息。

后端环境

源码部署环境：

前台页面 ：

Django管理后台：

其中Savior平台包含两个后台页面。考虑到安全性，目前用户管理、项目管理托管于Django管理后台（主要是这两个模块不会写），其余功能均可通过前台页面实现。

前台页面 ：

Django管理后台 ：

访问Django管理后台： ,

请完善API用户的Name、Avatar、Autosentmail三个字段，分别控制报告的作者、头像（图片Url）、生成报告后自动发送渗透测试报告到邮箱。

访问Django管理后台：

请通过APIProjects进行添加项目，可根据不通项目选择不通的渗透测试报告模板。

参数说明：Project logo（项目Logo）、Project center（项目名称）、Project description（项目描述）、Project template（渗透测试报告模板，目前标准模板可使用Demo/demo.docx，如需自定义模板，请参考模版自定义部分）

访问 可进入Savior平台，通过个人设置整改设置添加漏洞模板可进行设置漏洞类型、漏洞描述、修复建议从而达到标准化。

目前整理了一些通用的修复建议模板，请参考Demo/常规WEB渗透测试漏洞描述及修复方法.docx。

目前根据我经常使用的渗透测试报告模板生成了一个demo版本（请参考/Demo/demo.docx）。

当然您也可以根据自己的需求进行模板自定义，其中仅需在WORD模板中进行参数替换，目前Savior中具体参数如下：

以下漏洞详情请利用{%tr for vuls in vuls %}{%tr endfor %}进行循环遍历。

如想列出所有漏洞URL,则使用参数{%tr for vuls in vuls %}{{item.vul_url}}{%tr endfor %}

注： Savior平台渗透测试模板遵循Jinja2语法，更多内容请参考

如果我们完善了用户信息、项目管理、整改设置后，就可以通过前端页面进行创建报告，其大概流程如下：首先完善报告的基本信息。

选择漏洞管理的添加漏洞功能。选择漏洞类型后，漏洞名称、漏洞描述、修复建议会根据整改设置进行自动联动，并可根据需求进行自定义修改。

需要注意的是漏洞详情处如果需要插入XSS语句，请进行url编码后进行输入！

注： 未提交前请勿刷新页面，此时漏洞详情保存为前端。提交后会自动生成渗透测试报告并进行下载。

打开报告会提示更新域，更新请选择是，再选择更新整个目录，此问题主要是为了更新目录，不然渗透测试报告中目录无法自动更新。

如果在用户管理打开了Autosentmail功能，渗透测试报告会自动发送至我们邮箱，方便转给甲方爸爸。

访问Savior平台，选择漏洞列表可进行漏洞统计并进行漏洞复测。

其中漏洞包含三个状态（新发现、已修复、未修复）。

通过选择导出数据功能，可将漏洞列表导出为Excle。

用户管理、项目管理迁移至前端

大数据看板

感谢 echo503 提供的项目帮助

感谢 lp0int 提供的项目帮助

项目框架及 Docker 部署参考 Github-Monitor：（ ）

原文地址：

i春秋-真的很简单

基于织梦CMS的网站进行渗透测试，找到网站登录后台，进而入侵服务器找flag文件。

漏洞利用工具爆织梦后台的帐号和密码##

md5解密部分：

md5长度(hex)=32，但爆出来的 adab29e084ff095ce3eb 长度只有20。

织梦的是选取hash的前20位，然后去掉前三位和最后一位，得到16位的hash。16位和32位的hash才能解密，这是它本身算法的特性决定的。

在后台上传webshell

在 模板/标签模板管理/xxx.php 下，这些php模板文件都可插入一句话木马。 include/taglib/adminname.lib.php 去这里找。

进入管理员桌面看到flag文件，但是权限不足。

拒绝访问，可能是权限不足，因此提升权限；

windows组：

下面介绍下网上介绍的常见的用户组

　1.Users

普通用户组，这个组的用户无法进行有意或无意的改动，权限一般较低。

2.Power Users

高级用户组，仅次于administrator，但是我的win10上并没有这个组。

3.Administrators

管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说，应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。

4.Guests

来宾组，来宾组跟普通组Users的成员有同等访问权，但来宾账户的限制更多。次于Users组。

5.Everyone

所有的用户，这个计算机上的所有用户都属于这个组。

6.SYSTEM组

高于Administrators权限，在察看用户组的时候它不会被显示出来，也不允许任何用户的加入。这个组主要是保证了系统服务的正常运行，赋予系统及系统服务的权限。

但是本次实验中并没有提权，而是单纯的修改了用户对某个特定文件的权限，而非提升了用户本身的权限。