这回 记录一下 Kioptrix 1.3 的渗透测试 笔记
信息收集
nmap扫描
主机发现:sudo nmap -sn 192.168.30.0/24
端口扫描:sudo nmap --min-rate 1000 192.168.30.141
脚本扫描:sudo nmap --script=vuln -p 22,80,139,445 ip
web有csrf漏洞 以及枚举出一些目录
服务版本探测:sudo nmap -sT -sV -sC -O -p22,80,139,445
22端口 ssh服务 以及openssh版本 其他无特别信息
80端口 Apache服务
操作系统版本 Linux 2.6.9--2.6.33
139,445端口 samba服务
samba服务
是一种用于在Linux和Windows系统之间共享文件的软件套件。它实现了服务器消息块(SMB)协议,使得Linux/Unix系统能够与Windows系统进行通信。
至此nmap扫描结束
使用enum4linux枚举Samba主机息
它可以帮助您发现网络中的共享文件夹、用户列表、组列表、密码策略等信息。
发现一些用户名 以及版本信息
再进行一步 目录爆破
这里我采用 gobuster和dirb 当然也可以试试 feroxbuster
web渗透
看到这个页面
先从中观察一些信息
发现只有最下方的LigGoat secure Login。。。
搜索一番发现并不是cms之类
之后通过之前enum4linux发现的一些用户尝试登录
尝试一番 无果 QAQ
尝试sql注入
这里有三种方式进行 绕过
第一种:
常规 万能密码
' or 1=1 -- +
接着尝试一些别的输入 ' '发现 有错误
判断应该是存在sql注入
由于我在username和passwd都输入万能密码 导致过不去
这里我尝试 username填入 之前获得的用户名 john
passwd继续万能密码
成功 登录
获得了账号密码
由于开启了ssh服务
我们尝试登录 至此 第一种方法完毕
第二种
看到别的师傅写的 只能说 学到啦
这条语句的功能就是 将查询到的结果输出到文件的语法
然后我们访问 发现这个文件 访问 得到用户密码
第三种方法 就是 请出我们的大神sqlmap
当然我们还是要 减少工具的使用 避免成为脚本小子
我们先打开bp抓包 发现是post 保存请求包到文件
之后依次爆破出数据
三种sql注入方法 演示完毕
提权
ssh登录john用户
这里遇到了一个小问题
意思是我本地ssh客户端 找不到对方提供的那两种 密钥类型
接下来尝试 提权操作
发现这是一个受限的shell
貌似只能执行cd clear之类的命令
我们首先要做的就是 脱离这个受限的shell
我们搜索一下这个信息
最终我们通过 echo os.system('/bin/bash')
脱离成功
sudo -l
find / -perm -u=s -type f 2>/dev/null
查看能以suid权限运行的文件
根据GTFOBins 来查看相应的利用方式
一番尝试 无果
查看自动任务
cat /etc/crontab
cat /var/spool/cron
也没有发现什么可利用信息
我们也可以使用一些脚本来进行自动化枚举 例如
linpeas.sh
搜索可利用的点
或者 ps -ef | grep root
查看以root权限运行的服务
最终 我们将目标锁定在mysql
对于账号密码 我们可以尝试切换到var/www/目录下 查看一下后台的逻辑代码信息
发现可以无密码 以root身份登录
对于mysql 我们采用mysql-udf的提权方式
前提
secure_file_priv 必须为空
账号 且要拥有 create insert delete权限
当然 第二个我们满足
看一下第一个
好的 接下来进行尝试
然后我们退出
完毕
292
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
