声明
好好学习,天天向上
搭建
使用virtualbox打开,网络和我的PRESIDENTIAL一样,是要vmware和virtualbox互连
渗透
存活扫描,发现目标
arp-scan -l
端口扫描
nmap -T4 -A 192.168.239.6 -p 1-65535 -oN nmap.A
开启端口
发现开启80,22
访问80
http://192.168.239.6
Who are you? Hacker? Sorry This Site Can Only Be Accessed local!
F12查看源码,发现需要使用x-forwarded-for
使用BP,访问
http://192.168.239.6/?page=index
加入x-forwarded-for: 127.0.0.1头,再进行转发,下面是重放模式,重放模块可以,就在代理模块抓包,进行转发
但是要是用burp抓包的话每一次都得改头,很麻烦,浏览器是可以下载x-forwarded插件的,我chrome下了个x-forwarded-for插件,插件改好IP后,就直接能看到了
首先可以看到网站给出了Home Login Register About四个按钮
点击Login按钮 尝试输入弱口令无果后,点击Regiseter,注册一个吧
注册完之后进行登录,登录后,有三个按钮,Dashboard就是首页
Profile貌似是一个修改密码的,好像还不能点,那这个功能不就是查看用户名和密码啦?,而且这里好像是通过user_id查看的
扫描目录吧
扫出了一些
访问图中能访问的几个目录
config和misc都指向php文件,不过访问进去都是空白
http://192.168.239.6/config
http://192.168.239.6/misc
http://192.168.239.6/robots.txt
...
robots.txt提示让用
http://192.168.239.6/heyhoo.txt
访问后
Great! What you need now is reconn, attack and got the shell
那就是开始getshell了?
刚刚有登录,注册等等,试试能不能拿到web
突然想到了一点,刚刚有一个,查看用户名密码的功能
再跳回去,通过修改user_id,就能查看密码了,虽然是遮掩,F12可以把输入框属性修改为text
http://192.168.239.6/index.php?page=profile&user_id=1
除去自己注册的的用户外,当ID为1,2,3,4,5,9时有用户,所以可以分别收集一个用户名和密码字典
准备好用户名和密码字典后,就对ssh进行爆破吧
hydra -L ./user.dic -P ./pass.dic -t 6 ssh://192.168.239.6
有了字典就好爆破多了,爆破出了一组
alice
4lic3
ssh登录吧
ssh -p 22 alice@192.168.239.6
先翻一翻目录
把这小秘密还有什么历史目录都看一看
在小秘密里面发现flag
在notes中发现了心机婊的一句话
Woahhh! I like this company, I hope that here i get a better partner than bob ^_^, hopefully Bob doesn't know my notes
接下来,好不容易黑进来了,看看刚刚空白的那几个php
发现数据库信息
四个参数分别为,IP,用户名,密码,数据库名
su到root用第三个参数作为密码,成功提权
看了网上大神的思路,这里可以使用sudo提权
有php的root权限,直接使用php执行bash
sudo php -r "system('/bin/bash');"
总结
1.信息收集
端口发现80和22
通过80,使用x-forwarded-for头,就可以看到web后台
扫描80的目录,看到一些空白的php文件,虽然前端是空白,后面如果可以查看php内容,这些就是重点查看对象
2.web权限
进入后台,添加用户后可以通过user_id越权查看所有的用户信息,这样就能组成社工字典
3.shell权限
利用前面的社工字典,对22进行爆破,爆破除了ssh账号
4.权限维持
使用ssh进行连接登录,发现flag
5.提权
查找80端口扫描出的配置文件,发现数据库root和密码,直接登录
查看sudo,发现php命令可以临时具备root,通过sudo php进行权限提升拿到flag