确认攻击靶机
- 靶机和攻击机都为nat模式为同一个网段,直接对网段举行扫描
信息搜集
dirp目录扫描
dirsearch目录扫描
whatweb指纹
Nmap获取版本信息
- 确认服务版本,不外没有表现139端口的服务信息
- 实行使用smb-enum-shares测试,结果一样
- 实行连接去抓包看看,获取文件列表,印象里大部分协议举行通讯时会发送相干的信息。
- 过滤SMB包,右键追踪数据流,确定了版本信息
Samba
- 实行匿名登录试试,发现有两个共享列表
- -L列出目标机器所有共享
- -N匿名登录
- -U指定用户
- -c执行命令
- 执行命令,有权限限制
主机详细信息
- 利用系统:Red Hat Linux
- 内核版本:Linux 2.4.9 - 2.4.18
开放端口及服务
端口服务版本22/tcpsshOpenSSH 2.9p280/tcphttpApache httpd 1.3.20443/tcphttpsApache/1.3.20, mod_ssl/2.8.4, OpenSSL/0.9.6b111/tcprpcbindrpcbind 2139/tcpnetbios-ssn2.2.1a1024/tcpstatusstatus 1查找攻击点
查找历史漏洞
SSH| 2.9p2
rpcbind
- 这个服务不怎么了解也搜搜看,未找到有用信息
- nmap脚本扫描,发现了1024端口上,使用rpcinfo来查询RPC服务结果一样
Apache|1.3.20
Samba |2.2.1a
漏洞利用
apache版本漏洞复现
获取(编译)exp
- -m复制到当前目录
- gcc编译程序,报错不用管。看到编译出执行文件。
- gcc -o apache 47080.c -lssl -lcrypto
利用exp测试l漏洞
- 可用的系统太多直接前面网站指纹的版本筛选,包罗前段页面的时间注意到的多半也和Redhat有关系。
- 按照帮助给的格式填写,目标盒子,端口,以及攻击次数-c
- 进入成功,但是执行提权时无法下载文件,需要别的方式传入文件
- 攻击机下载好文件利用http协议传输进去,为什么呢,由于可以看到他自己就有wget命令,那么就用他自己有的命令下载文件最好。
- 再次进入靶机的shell下载文件并执行
- 提权成功
Samba版本漏洞复现
- -m复制到当前目录
- 编译执行
- 执行exp,直接就是root用户
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
