靶机下载链接:https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip
复现视频:【「红队笔记」靶机精讲:W1R3S 1.0.1 - 渗透测试思路为王,细节多到即使对于纯萌新也能无感入圈。】https://www.bilibili.com/video/BV1mB4y1j7K6?vd_source=09d322662ec63869ded6328cd2203029。红队笔记(一个很宝藏的up主)。
目录
安装靶机
1、选择打开虚拟机
2、将网络调成net模式
3、安装完成后的页面
打开kali,开始打靶
信息收集
1、看下自己kail的本机ip,防止找不到靶机ip
2、利用nmap扫描发现靶机,尽量不直接利用root权限,利用sudo命令对单独一段指令提权,安全性更高。
n:只进行主机嗅探,不进行端口扫描
3、扫描端口
-sT:采用tcp连接。
--min-rate:采用10000的速率进行扫描发包,不快也不慢,可以防止被发现。
-p-:指定ip。
-oA:将扫描内容输出到文件中,会生成三个带后缀的文件(gnmap、nmap、xml)。
4、将端口信息赋值给变量,并输出。
5、扫描端口信息
-sT:采用tcp连接;
-sV:探测开放服务的版本;
-sC:采用ping探测的方式;
-O:探测操作系统版本;
发现21-ftp端口有三个目录。22-ssh远程登陆,可能会有弱口令,暴力破解。80-http端口,运行apache服务。3306-mysql端口。操作系统最有可能是linux系统。
6、kali自带的脚本漏洞扫描
发现一个ddos攻击,和一个wordpress的cms。
得到的信息:
1、开放的端口:21、22、80、3306
2、21端口含有三个目录,尝试获取;22端口可以尝试弱口令爆破;80端口在运行apache服务,发现一个wordpress的cms;3306可以尝试默认密码连接数据库;
21-ftp渗透
1、连接ftp,使用匿名登录anonymous,密码为空,敲回车即可。
2、下载ftp中存在的文件
cd.. 切换目录;mget 文件名,一次性下载多个文件;?,显示交互的命令行;exit,退出;
目录下的文件不是文本.txt文件的话,需要先运行binary指令(即输入binary然后回车)转换为二进制格式,以保证通过FTP下载的文件不会损坏。如果本身就是txt文件,则运不运行binary都可。
下载完之后,在当前目录会多出5个文件
3、查看文件内容
01.txt,没有什么重要信息。
02.txt,得到一串像hash的数字串,下面base64编码。
利用kali中自带的hash-identifier工具,去识别数字串加密方式,得到可能是md5值。
在网站上去解密md5,下面字符串在网站上去找base64解密网站
解密MD5数字串,得到这不是密码
解密base64字符串,得到内容 “这很容易,但没那么容易。。”
03.txt,像是一个logo
employee-names.txt,得到了一些员工信息。在进行爆破,用户,密码猜解时,应该可以用到。
worktodo.txt,得到的是一些翻转的字体。
Upside Down Text | Flip Text, Type Upside Down, or Backwards Text,字体翻转解密网站。
第一行的信息,不要认为这是获取root的方法。
第二行信息,认为有很多的事情要多,不要浪费时间。
经过ftp渗透之后,并没有得到太多有用的信息,只有一些员工的信息。
3306-mysql渗透
尝试连接数据库,并没有弱口令的漏洞。
80-http渗透
1、先访问靶机ip,看到一个apache设置页面,并没有交互的地方,不会产生过多漏洞。
2、目录爆破
下载目录爆破的工具命令:sudo apt install gobuster
爆破命令:sudo gobuster dir -u http://yourip --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
爆破到三个目录。
点击第一个目录,发现会跳转到localhost。
修改host文件,将host指向靶机ip。
命令:sudo vim /etc/hosts
修改完之后,还是会跳转到localhost。
点击第二个目录,也是一个403错误。
点击第三个目录,发现是一个cuppa cms的安装页面。唯一交互的地方,只有next,在真正渗透测试的时候,一定要严格考虑,是否要点击。因为做的每一步操作,都有可能暴露自己,并且是不可逆的。
点击下一步,发现Database Name后面?提示符里面database拼错了,少打了个字母,黑客思维来说,这就是特征,需要留意。
点击下一步,管理员用户并不能创建成功。
cuppa cms渗透
利用kali中自带的searchsploit去查找cms是否有漏洞 。
用法:searchsploit cms名。
发现一个文件包含漏洞。
下载cuppa cms
可以看到在22行代码中,有文件包含函数。还有相应的文件路径。
第一行路径并不存在
试下第二行,并构造一下路径
http://yourip/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd,可以发现有反应,但是并没有什么信息。网站提交方式,一般是get、post,get提交方式不可以,换成post提交试一下。
利用curl构造post请求信息:curl --data-urlencode '?后面的参数' url
linux系统中,passwd文件里面所有账户的密码都是用x代替的,真正的密码(加密后)放在/etc/shadow中
用同样的方法去请求shadow文件
curl --data-urlencode 'urlConfig=../../../../../../../../../etc/shadow' http://192.168.33.133/administrator/alerts/alertConfigField.php
利用vim创建一个文件,将这些密码信息复制到文件中,利用john进行解密。
root密码等了很长时间都没解密,所以就用破解的两个吧。
重复破解相同的密码哈希,john是不会显示结果的,可以用john –show hash ,查看历史破解记录
利用ssh进行连接,连接成功
提权
是三个all,代表最高权限,这样就以root的权限运行/bin/bash
获得了root权限
成功拿到flag
22-ssh爆破
根据ftp暴露的信息,去构造一个字典。
建立一个文件:vim user
解压缩rockyou.txt压缩包。
在进行指令输入时,一定要注意大小写。出来一个用户和密码,去尝试登陆。
再次登录成功