1.扫端口
靶机链接:https://www.vulnhub.com/entry/basic-pentesting-1,216/
我的kali机ip为192.168.61.131,nat模式,故扫ip。发现靶机地址以及端口服务。
2.信息收集
访问http://192.168.61.138,未发现有效信息。
故扫目录,发现隐藏目录.访问链接为一个博客平台WordPress。
右下角有个login ,点击跳转后台登录界面,尝试弱口令admin,admin成功登录
3.漏洞探测
直接用msf搜索wordpress有无可用漏洞
由于知道了用户名和口令,用第20个payload。show options命令查看要配置那些参数。
进入shell后发现是web-data权限。
4.提权
查看 etc/passwd。其各列含义如下:
1.用户名。
2.用户的密码占位符。(之前用户的密码原本存储在该字段,处于安全考虑,最后专门有了/etc/shadow文件,现在默认均由x替代.但用密文替代)
3.用户UID值,一般情况下,root的UID为0,1-499默认为系统账号,有的更大些到1000,500-65535为用户的可登录账号,有的系统从1000开始。
4.用户的gid,linux的用户都会有两个ID,一个是用户uid,一个是用户组id。(在我们登录的时候,输入用户名和密码,首先到/etc/passwd查看是否有你输入的账号或者用户名,有的话将该账号与对应的UID和GID(在/etc/group中)读出来。然后读出主文件夹与shell的设置,然后再去检验密码是否正确,正确的话正常登录)
5.用户的账号说明解释。
6.用户的家目录文件夹。
7.用户使用的shell,如果换成/sbin/nologin时默认是没有登录环境的。
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
用openssl passwd生成密码,并插入到root用户x位置。
openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin] [-noverify] [-quiet] [-table] {password}
-crypt: 生成标准的unix口令密文。默认选项。
-1: 用MD5基于BSD的密钥算法。
-apr1: Apache md5口令密文。
-salt string: 用指定的字符串填充。当从终端读取一个密钥时,则填充它。
-in file: 从指定的文件中读取密钥。
-stdin: 从stdin中读取密钥。
-noverify: 当从终端读取口令时不去验证它。
-quiet: 当命令行提供的密钥是缩短了的,则不输出警告。
-table: 用户输入的口令和结果用缩进隔开。
password: 需要处理的密钥值。
再升级交互式shell.
python -c 'import pty;pty.spawn("/bin/bash")'获得root权限。
1214
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
