怎么给公司做微网站,怎么优化一个网站,wordpress后台登陆显示404,湖南做网站kaodezhu文章目录
前言
一、确定靶机地址
二、信息收集
三、寻找漏洞
四、进一步漏洞挖掘
五、关键文件
六、ssh爆破
七、提权
总结 前言
马上过年了#xff0c;年前再做一下DC靶场最后一个靶机。 一、确定靶机地址
1、可使用arp-scan命令 靶机地址为#xff1a;172.16.10…文章目录
前言
一、确定靶机地址
二、信息收集
三、寻找漏洞
四、进一步漏洞挖掘
五、关键文件
六、ssh爆破
七、提权
总结 前言
马上过年了年前再做一下DC靶场最后一个靶机。 一、确定靶机地址
1、可使用arp-scan命令 靶机地址为172.16.100.109
二、信息收集
1、nmap探测开放端口及服务 开放了80端口22端口为filtered状态可能有防火墙也可能关闭。
2、访问http服务 三、寻找漏洞
此页面有许多用户名和地址栏显示.php说明这个网页大概率是用PHP编写 注意到这里有个search.php并且有个搜索框可能是POST提交方式抓一下包看看能不嫩sql注入 可以看到参数search很可能存在sql注入直接用sqlmap扫描
sqlmap -r search -p search --batch --dbs
sqlmap -r search -p search --batch -D users -T UserDetails -C id,username,password --dump
最后查看到users表中的数据 我们可以将文件内容分割 出来形成用户名和密码字典。
同时查看另一个数据库Staff
同样在users表中发现了数据是admin的账户和密码hash值用MD5破解一下
得到账户密码admin/transorbital1
但是尝试ssh登录失败。 四、进一步漏洞挖掘
使用admin账户登录页面但是提示页面不存在猜测是否有文件包含漏洞 尝试使用fuzz模糊测试测试参数找到/etc/passwd文件此处需要网站的cookie登录网站抓包即可获取
wfuzz -b PHPSESSIDnfhibu50l40lmh7g4p989k5u0s -w /usr/share/wfuzz/wordlist/general/common.txt --hw 100 http://172.16.100.112/manage.php?FUZZ../../../../etc/passwd 可以看到参数为file尝试访问一下 五、关键文件
关于knockd服务
但是最关键的文件在本地文件并不常见,那就是/etc/knockd.conf文件这个文件是配置好端口敲门服务后产生的关于端口敲门有如下说明
如果你有一台公众可访问的服务器黑客可以轻松扫描其IP地址查找服务器上的开放端口(尤其是用于SSH的端口22)。将服务器隐藏起来、不让黑客看见的一种方法是使用knockd。knockd是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。
端口敲门服务即knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务使用自定义的一系列序列号来“敲门”使系统开启需要访问的服务端口才能对外访问。不使用时再使用自定义的序列号来“关门”将端口关闭不对外监听。进一步提升了服务和系统的安全性。
换句话说如果知道自定义的端口逐个进行敲门这样我们就能够开启SSH端口从而进行连接所以利用文件包含漏洞来查看knock.conf文件配置得到自定义端口。
输入/proc/sched_debug查看靶机的任务调用情况发现开启了knockd服务 输入/etc/knockd.conf得到敲门端口的顺序 nmap -p 7469 172.16.100.112
nmap -p 8475 172.16.100.112
nmap -p 9842 172.16.100.112再探测一下端口 这里尝试几次不行可以重启靶机前后IP有变化不用在意
六、ssh爆破
前面我们利用搜集的信息已经形成了用户名和密码字典使用hydra工具进行登陆测试
hydra -L users -P password 172.16.100.113 ssh
发现有三个用户可以ssh登录 后续我们可以都登陆一下查看各自账户里的文件信息
最终对比发现janitor用户有一个密码.txt 我们将密码内容复制到之前的密码本中再次进行爆破尝试
发现一个新用户可以ssh登录 使用新用户进行登录 七、提权
查看sudo可以执行的命令发现可以不用密码执行一个test文件 运行这个文件提示使用python test.py带参数执行 找一下这个文件 进入文件查看内容分析代码可知这个文件的功能是读取文件1的内容然后写入到文件2 这里提供两种提权方法
方法一写一个授权文件fredf用户可以在all地方以root不需密码执行all命令
方法二使用Openssl构造加密密码构造新用户admin为root权限
方法一
echo fredf ALL(root) NOPASSWD:ALL /tmp/sudo.txt
sudo /opt/devstuff/dist/test/test /tmp/sudo.txt /etc/sudoers
尝试切换到root 提权成功
方法二
利用openssl创建密码创建后参照/etc/passwd中格式写入文本中
openssl passwd -1 -salt admin 123456
echo admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash /tmp/passwd
执行
sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd
cat /etc/passwd su命令切换用户 提权成功。 总结
这次打靶机过程中主要难点是端口为filtered状态时不知道有knockd服务。需要得知到knockd服务的知识查找路径利用knockd连接到ssh。
knockd 服务 默认路径/etc/knockd.conf 后续可以了解一下。
