1.靶机部署
kali安装:https://blog.csdn.net/l2872253606/article/details/123592717?spm=1001.2014.3001.5502
靶机下载:https://download.vulnhub.com/node/Node.ova
使用VMware打开该文件:
设置好名称和虚拟机位置:
注意:导入过程中可能会提示导入失败,点击重试即可。
虚拟机的基本设置:
导入成功,打开虚拟机,到此虚拟机部署完成!
注意:靶机的网络连接模式必须和kali一直,让DC靶机跟kali处于同一网段,这用kali才能扫出DC的主机。
2.信息收集
2.1 探测IP
使用nmap扫描同一个段下存活的IP
nmap 192.168.11.0/24
注意,这里说明一下:
如何在网段内找到靶机是哪个,这个前面的靶机已经演示过很多方法了,这里不做赘述,简单总结一下:
- 如果知道靶机mac地址,那么我可以对比mac地址
- 如果知道IP地址,那么可以对IP进行详细扫描,直接略过主机发现部分。
- 如果什么都不知道,那就只能全网段,全端口扫描,然后找有用的IP和端口进行访问验证。
这里我进行了全端口扫描,发现这个IP的3000端口可以访问,访问之后确定了我们的靶机:
2.2 详细信息扫描
使用nmap对靶机开放的端口进行更详细的扫描:
nmap -A -T4 -p- 192.168.11.153
2.3 敏感目录
dirb http://192.168.0.110:3000
发现没有找到,换个字典试试,查看一下有什么字典:
dpkg -L dirb
反正就是有好多字典,可以换字典试试,或者换其他工具试试,都可以,这里我就不试了,但是你们得试,这也是一种手法。
2.4 指纹收集
whatweb -v 192.168.11.153
3.渗透过程
3.1 漏洞发现
一筹莫展之际,让我在源码中找到了有用的线索,这里有好多js文件,然后顺着路径看看它里面都是什么。
这里为了节约时间,其他的我就不看了,我只展示有用的。
在 assets/js/app/controllers/home.js 文件里,发现一个莫名的路径:
管他是什么,访问看看:
发现了用户名和密码,显然密码是经过加密的,加密方式应该是MD5。
什么?你问我怎么知道是MD5的?见得多了就知道了!!!
这里给大家普及一下MD5:
- MD5是一种哈希算法,而不是加密算法。MD5哈希算法不可逆,因此只能通过跑字典解密。
- MD5算法的目的是将输入的数据映射为一个128位的哈希值,这个哈希值通常用于验证数据完整性,而不是加密。
以下是使用Python计算输入字符串的MD5哈希值的代码示例,感兴趣的朋友可以研究一下:
import hashlib
input_str = "Hello World!"
# 创建MD5哈希对象
hash_obj = hashlib.md5()
# 更新哈希对象
hash_obj.update(input_str.encode())
# 获取哈希值
md5_hash = hash_obj.hexdigest()
print("MD5 哈希值为:", md5_hash)
破解密码:
我用的是下面这个网站,简洁粗暴:
让你无语的MD5:https://www.somd5.com/
得到两组用户名和密码:
tom:spongebob
mark:snowflake
分别登录网站:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eAeKol6h-1679734503168)(null#averageHue=#e7d2a6&clientId=u966a8576-0dbb-4&from=paste&height=929&id=uc3716174&name=image.png&originHeight=929&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=49455&status=done&style=none&taskId=uf862a1db-b754-4788-bac5-3d2e209fa72&title=&width=1920)]
使用tom用户登入发现页面显示说不是管理员用户,没有权限去访问,使用mark用户也显示这个,那猜想可不可能是ssh远程连接账号密码呢,经过尝试发现也不是
观察这个url发现上一级目录是users目录,访问试试:
发现多了一组用户名和密码:
解密,得到用户名和密码:
myP14ceAdm1nAcc0uNT:manchester
登录后台:
登录成功后,发现该用户是管理员,还有个下载文件的按钮,下载下来试试:
很明显,base64加密,解密试试:
base64 -d myplace.backup
什么玩意儿?没解出来,连我的shell都给我改了?
既然传统方法行不通,那就只能用打压缩包解密的法子了,其实,当看见加密文件的内容很多的时候,就应该直接用打包解密的方法,但是由于是教程,就只能一步一步来了。
base64 -d myplace.backup > myplace
unzip myplace
还要密码,我哪知道什么密码啊,破呗,用kali自带的fcrackzip:
介绍几个fcrackzip常用命令:
fcrackzip命令:
-v(详细信息)
-b(爆破)
-u(使用解压缩来清除密码错误)
-c(使用字符串)
-p(密码)
fcrackzip -v -b -u -c a -p magicaaaa myplace
得到好多目录:
但是哪个有用呢?
对于node.js而言我们首先要基本熟悉他的构架,其中 app.js,项目入口及程序启动文件,感兴趣的自己去查查吧。
先查看app.js文件;
查看app.js文件:
我们发现了一个Node.js 连接 MongoDB 的操作;
单独拿出来看看:
学过JDBC的同学应该都知道,这是连接数据库的URL,从中我们可以得到用户名,密码等信息。
mongodb://mark:5AYRft73VtFpc84k@localhost:27017/myplace?authMechanism=DEFAULT&authSource=myplace
数据库://用户名:密码@地址:端口
试一下能不能ssh连接:
连接成功:
查看一下身份,ID和系统内核等信息:
发现内核是Ubuntu 16.04,这个内核是有一个内核漏洞的,漏洞编号为:CVE-2017-16995,感兴趣的可以去了解一下:
启动msf,查找该内核:
msfconsole
searchsploit Ubuntu 16.04
这里我用的是这个(高亮标出来了):
将文件传到靶机的tmp文件夹:
传输方式不做限制,我这里用的scp,scp是一些常用的shell工具,例如Xshell,finalshell等传文件的底层原理。至于为什么传到tmp文件夹,自己去查!
编译文件,并且运行:
总结:
该靶机主要考察了一些细节问题,例如刚开始的代码审计等,还有发现第四个用户,其次就是编码的问题,常见的编码有什么特征要知道,解码的时候建议多换几个网站解,最后就是内核提权,总的来说比较简单!!!