本文详细介绍了如何进行渗透测试,包括主机发现、端口扫描、文件包含漏洞利用和通过nginx日志执行系统命令。通过爆破页面参数,发现文件包含漏洞,并利用此漏洞向nginx日志写入恶意代码,成功反弹shell,最终通过screen 4.5.0的提权漏洞获取root权限。
世间一切皆可努力
感谢浏览
目录
1.查看kali的网卡、IP等信息;(网卡名:eth0,IP地址:192.168.97.129)
3.探测特定网络的主机存活状态;(netdiscover,arp-scan、nmap)
2.在扫描的同时,访问主页、robots.txt、指纹识别;
5.测试http://192.168.97.156/contact;
6.结合BP,爆破thankyou.php页面,验证是否是文件包含;
(四)渗透测试——利用nginx的日志和文件包含漏洞,Getshell
1.向/var/log/access/nginx/log内写入系统cmd和phpinfo()函数;
2.利用文件包含,读取日志,验证是否写入cmd和phpinfo();
3.利用文件包含,执行刚刚上传的php代码,从而调用cmd执行系统命令,反弹shell;
(五)渗透测试——致命连问,进一步信息收集,从而获取root权限
3.nginx的日志/var/log/nginx/access.log自动记录正确的GET请求,从此处写入恶意代码;
4.screen 4.5.0存在着提权漏洞41154.sh(需要修改,提前编译,以及:set ff=unix);
一、实验环境
- 靶机:DC-5,IP地址:192.168.97.156
- 测试机:Kali,IP地址:192.168.97.129
- 测试机:物理机Win10
- 连接方式:NAT
二、实验流程
- 信息收集——主机探测阶段
- 信息收集——端口(服务)扫描阶段
- 渗透测试——80端口(发现文件包含,爆破页面footer.php,爆破传参变量file)
- 渗透测试——Getshell(向日志内写入<?php system($_GET['cmd']);?>)
- 渗透测试——本地提权(screen 4.5.0的漏洞)
- 清楚痕迹,留下后门
三、实验步骤
(一)信息收集——主机发现阶段
1.查看kali的网卡、IP等信息;(网卡名:eth0,IP地址:192.168.97.129)
- ifconfig -a
-a 显示详细信息
2.查看靶机页面;
3.探测特定网络的主机存活状态;(netdiscover,arp-scan、nmap)
- netdiscover -i eth0 -r 192.168.97.0/24
-i 指定出口网卡
-r 指定待扫描网段
- arp-scan -l
--localnet or -l 指定扫描本地网络
- nmap -sP 192.168.97.0/24
-sP ping扫描且不扫描端口
4.分析所得:
- 靶机:192.168.97.156
- 测试机kali:192.168.97.129
(二)信息收集——端口(服务)扫描阶段
1.扫描靶机的端口、服务、running_OS等信息;
- nmap -p- -sV -O -A 192.168.97.156
-p- 扫描全端口
-sV 扫描端口的服务信息
-O/A 扫描靶机的运行的操作系统信息
2.分析所得:
- 共扫描65535个端口,有三个端口打开;
- 80端口处于open状态,对应开启了http服务,使用中间件是nginx;
- 111端口处于open状态,对应开启了rpcbind服务;
- 57077端口处于open状态,对应RPC;
- 靶机的推测其内核版本是3.2-4.9之间
(三)渗透测试——80端口(http服务)
1.枚举靶机网站的目录和页面等;
- dirb http://192.168.97.156 /usr/share/dirb/wordlists/big.txt
如下图所示,就只有两个目录:css、images
- 御剑扫描,http://192.168.97.156
2.在扫描的同时,访问主页、robots.txt、指纹识别;
- http://192.168.97.156
- http://192.168.97.156/robotx.txt
- whatweb http://192.168.97.156
3.逐个访问扫描结果;
- http://192.168.97.156/css
- http://192.168.97.156/images
4.分析所得:
- 只有一个主页的contact栏目处可以留言;
最低0.47元/天 解锁文章
扫一扫
416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
