实验环境
kali:10.10.10.128
靶机:10.10.10.148
靶机下载地址
渗透过程
1. 主机发现
netdiscover -i eth0 -r 10.10.10.0/24
2. 服务探测
nmap -sS -sV -p- -T5 -A 10.10.10.148
通过nmap扫描出来,目标系统开放了21、22、80、3306端口,到这里的思路:21是否可以匿名登录,未授权访问;22暴力破解;80端口主要查看web相关的漏洞。
看到21端口,最著名的漏洞就是匿名登录,那就去试试!
ftp 10.10.10.148
匿名登录成功,在这里有三个目录content、docs、new-employees,在这三个目录下都有文件,那就使用wget分别下载下来,看看有没有什么重要的信息!
wget ftp:10.10.10.148/content/01.txt
# 其它文件下载和上面命令一样,只需将目录名和文件名换成对应名称
如果嫌麻烦,可以使用xftp软件连接下载!
查看文件中的内容
其中在02.txt中发现一段base64加密的密文、一段MD5加密的密文(使用hash-identifier判断)
那就解码解码吧!
MD5解密为:This is not a password
base64解密为:It is easy, but not that easy.
employee-names.txt中的东西有一点像用户名!先留一下,后期情况不对马上进行爆破使用!
还有一段嘲讽的话,可以说伤害性不大,侮辱性极强
访问web服务,看看有没有好东西!
就一张图片,查看源代码也没有什么重要的信息!那就目录扫描扫描,
4. 目录扫描
多使用目录扫描软件扫描,因为目录字典的差异性,会导致扫描出来的结果有所不同,这里老生常谈了!!这里就。。。
dirb -u http://10.10.10.147 -o dir.txt
# 保存下来,方便查看
通过扫描发现有一个/administrator目录下有许多东西!还有/wordpress,但是通过测试发现这个wordpress中有些东西能查看,一些东西不能查看(刚开始怀疑在目标系统上部署了wordpress的网站,但是后面发现错了,这里如此设置是为了诱惑误导我们!!!),那就访问另外一个目录/administrator看看
看到这里,是不是一点实现,这不是安装cms才有的操作嘛,那就试试安装安装
最后的结果:
居然安装失败(刚开始,我一直在想是不是要指定特定的用户密码或者数据库才能安装成功,所以思路就被固化了,转牛角尖了!然后就是去找爆破出来的目录下的各种信息,找来找去完蛋,练习时长两年半的哥哥完蛋叼!!!)
这里深刻反省,为什么临时抱佛脚,我总是临时抱佛脚!!!
改变思路,怎么既然提示了cuppa cms,那就去网上看看有没有什么可以利用的载荷呗!
有了!是一个文件包含漏洞,那就看看目标系统是否存在利用的目录。
存在可利用的目录,那就使用呗
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://10.10.10.148/administrator/alerts/alertConfigField.php
# 查看用户
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://10.10.10.148/administrator/alerts/alertConfigField.php
# 查看密码
刚开始使用hackbar,按提示操作没有成功!包括使用post方式,也编译了参数就是不行,无奈只有看看网上使用方法!!有知道是怎么回事的告诉一下小弟!
有用户、密码是密文的,那就使用john破解看看能不能破解
最后成功!!!
用户名:w1r3s
密码:computer
在web服务上查看有没有登录框?没有!目标系统不是还开了一个22端口嘛,那就ssh远程登录一下看看
登录成功,开始提权操作!!
5. 提权操作
还是老样子!查看敏感文件,查看特殊权限位,查看内核版本和发行版本,网上搜索可提权的漏洞!
可以看到可以使用sudo提权!!
最后得吃!!!
6. 总结
- 如果在仔细查看一条件没有可以利用的条件,赶快转换思路,不要转牛角尖!!!
- 多思考、多练习!!!